| 1 |
Трудно не согласиться, ведь если бы с криптографией в gentoo не было |
| 2 |
проблем, то я бы и не стал вопрос задавать :-) |
| 3 |
|
| 4 |
На счет openssl и curl не совсем понятно: поизводится ли в принципе |
| 5 |
проверка сертификата на нахождение в revokation list. Скорее всего |
| 6 |
если такая возможность и есть, то curl не задействован в реализации: |
| 7 |
|
| 8 |
# ./Configure --help |
| 9 |
Usage: Configure [no-<cipher> ...] [enable-<cipher> ...] [-Dxxx] |
| 10 |
[-lxxx] [-Lxxx] [-fxxx] [-Kxxx] [no-hw-xxx|no-hw] [[no-]threads] |
| 11 |
[[no-]shared] [[no-]zlib|zlib-dynamic] [enable-montasm] [no-asm] |
| 12 |
[no-dso] [no-krb5] [386] [--prefix=DIR] [--openssldir=OPENSSLDIR] |
| 13 |
[--with-xxx[=vvv]] [--test-sanity] os/compiler[:flags] |
| 14 |
|
| 15 |
# emerge -pv openssl |
| 16 |
These are the packages that would be merged, in order: |
| 17 |
Calculating dependencies... done! |
| 18 |
[ebuild R ] dev-libs/openssl-0.9.8h-r1 USE="(sse2) zlib -bindist |
| 19 |
-gmp -kerberos -test" 0 kB |
| 20 |
Total: 1 package (1 reinstall), Size of downloads: 0 kB |
| 21 |
|
| 22 |
Всё это наталкивает на мысль, что проверка НЕ выполняется. Думаю стоит |
| 23 |
попробовать провести эксперимет. |
| 24 |
|
| 25 |
2009/1/5 Denis V. Rybakov <denis.rybakov@×××××.com>: |
| 26 |
> Anton Ananich wrote: |
| 27 |
> |
| 28 |
>> В силу специфики их работы они имеют потребность |
| 29 |
>> шифровать свою переписку с помощью SSL сертификатов. |
| 30 |
> |
| 31 |
> Нет такого понятия "ssl-сертификат". |
| 32 |
> Не надо выдумывать отсебятину, это запутывает и тебя, и собеседника. |
| 33 |
> Лучше почитать RFC3280, RFC2510 и принять существующую терминологию, |
| 34 |
> а заодно и получить ответы на 90% своих вопросов :) |
| 35 |
> |
| 36 |
>> В один день Паниковский теряет свой ноутбук вместе с сертификатом. Он |
| 37 |
>> сообщает об этом администратору, администратор с помощью |
| 38 |
>> # openssl -revoke panikovsky.pem |
| 39 |
>> делает сертификат невалидным, выдает новый ноутбук и новый сертификат. |
| 40 |
>> |
| 41 |
>> Вопросы: |
| 42 |
>> 1) Как _правильно_ нужно настроить CA, чтобы Бендер мог об этом узнать |
| 43 |
>> о том, что сертификат скомпрометирован как можно скорее? |
| 44 |
>> 2) Как протестировать, что CRL действительно блокирует сертификаты в |
| 45 |
>> a) браузере (например firefox) |
| 46 |
>> б) почтовом клиенте ( например Thunderbird или Microsoft Outlook) |
| 47 |
>> |
| 48 |
> |
| 49 |
> Есть множество этапов, которые выполняют при проверке сертификата на |
| 50 |
> валидность |
| 51 |
> Что касается проверки на отозванность, то это вообще отдельная тема, т.к. |
| 52 |
> каждый строит свою |
| 53 |
> схему в зависимости от жесткости требований. |
| 54 |
> Ну например приведу более менее полную схему. |
| 55 |
> 1. NotBefore <= NOW <= NotAfter |
| 56 |
> 2. Поиск CRL для данного УЦ в хранилище. |
| 57 |
> 2.1 Попытка обновить CRL через CDP (CRL Distrubution Point, опциональна, |
| 58 |
> указывается в качестве расширения в сертификате УЦ) |
| 59 |
> 2.1.1 Если удалось, проверяем на присутствие в списке |
| 60 |
> 2.1.2 Если не удалось, можем игнорировать, при условии наличия в локальном |
| 61 |
> хранилище |
| 62 |
> неистекшего CRL, а можем обломать, в зависимости от параноидальности. |
| 63 |
> 3. Проверка статуса через службу OCSP, опять же возможны варианты, если не |
| 64 |
> удалось до нее достучаться (доверять локальному CRL или нет). |
| 65 |
> |
| 66 |
> И это еще не все. Тема вопроса обширнейшая. |
| 67 |
> В криптографической подсистеме винды есть даже понятие Revocation Provider, |
| 68 |
> т.е. это отдельная сущность, которая |
| 69 |
> исходя из своей логики, говорит тебе валиден сертификат или нет и которую |
| 70 |
> можно написать под свои требования. |
| 71 |
> |
| 72 |
> Основная беда в том, что в линуксе ничего такого централизованного нет - |
| 73 |
> хранилища сертификатов, единое криптоапи и т.д. |
| 74 |
> Да даже нецентрализованного тоже в общем то нет, openssl который с ооочень |
| 75 |
> большим натягом можно посчитать за стандарт |
| 76 |
> каждое приложение использует как ему вздумается. |
| 77 |
> |
| 78 |
> Единственное - в мозилле (firefox, thinderbird, etc) криптуха более менее |
| 79 |
> реализована, оно даже OCSP держит. |
| 80 |
> |
| 81 |
>> Ранее в рассылке было упомянуто решение: CRL Distribution Point, |
| 82 |
>> однако поиск в сети не дал желаемых результатов. |
| 83 |
> |
| 84 |
> CDP это всего лишь вершина айсберга. |
| 85 |
> |
| 86 |
>> Надеюсь мы сможем найти истину вместе :) |
| 87 |
>> |
| 88 |
> |
| 89 |
> Истина в том, что криптуха в линуксе в плачевном состоянии. |
| 90 |
> А если говорить о каком-то стандарте на уровне системы, то ее просто нет. |
| 91 |
> |
| 92 |
> Тупое решение в лоб. |
| 93 |
> 1. Создаешь CA с расширением id-ce-cRLDistributionPoints (CDP по простому), |
| 94 |
> там можно всякие URI указывать, |
| 95 |
> самое простое - http. Будет типа http://blabla.bla/ca.crl (на чем CA |
| 96 |
> поднимать не спрашивай, тут тоже все печально. самое простое - можешь из |
| 97 |
> openvpn выдрать) |
| 98 |
> 2. На CA обеспечиваешь, чтобы текущий crl был доступен по тому же урлу, что |
| 99 |
> и в расширении корневого сертификта. |
| 100 |
> 3. Магическим образом заставляешь клиентское ПО использовать проверку |
| 101 |
> сертификатов по CRL вытащенгному с CDP |
| 102 |
> (могу ошибаться, но вроде в openssl есть механизмы, которые сами это делают, |
| 103 |
> если с curl'ом собирать) |
Archives