1 |
Трудно не согласиться, ведь если бы с криптографией в gentoo не было |
2 |
проблем, то я бы и не стал вопрос задавать :-) |
3 |
|
4 |
На счет openssl и curl не совсем понятно: поизводится ли в принципе |
5 |
проверка сертификата на нахождение в revokation list. Скорее всего |
6 |
если такая возможность и есть, то curl не задействован в реализации: |
7 |
|
8 |
# ./Configure --help |
9 |
Usage: Configure [no-<cipher> ...] [enable-<cipher> ...] [-Dxxx] |
10 |
[-lxxx] [-Lxxx] [-fxxx] [-Kxxx] [no-hw-xxx|no-hw] [[no-]threads] |
11 |
[[no-]shared] [[no-]zlib|zlib-dynamic] [enable-montasm] [no-asm] |
12 |
[no-dso] [no-krb5] [386] [--prefix=DIR] [--openssldir=OPENSSLDIR] |
13 |
[--with-xxx[=vvv]] [--test-sanity] os/compiler[:flags] |
14 |
|
15 |
# emerge -pv openssl |
16 |
These are the packages that would be merged, in order: |
17 |
Calculating dependencies... done! |
18 |
[ebuild R ] dev-libs/openssl-0.9.8h-r1 USE="(sse2) zlib -bindist |
19 |
-gmp -kerberos -test" 0 kB |
20 |
Total: 1 package (1 reinstall), Size of downloads: 0 kB |
21 |
|
22 |
Всё это наталкивает на мысль, что проверка НЕ выполняется. Думаю стоит |
23 |
попробовать провести эксперимет. |
24 |
|
25 |
2009/1/5 Denis V. Rybakov <denis.rybakov@×××××.com>: |
26 |
> Anton Ananich wrote: |
27 |
> |
28 |
>> В силу специфики их работы они имеют потребность |
29 |
>> шифровать свою переписку с помощью SSL сертификатов. |
30 |
> |
31 |
> Нет такого понятия "ssl-сертификат". |
32 |
> Не надо выдумывать отсебятину, это запутывает и тебя, и собеседника. |
33 |
> Лучше почитать RFC3280, RFC2510 и принять существующую терминологию, |
34 |
> а заодно и получить ответы на 90% своих вопросов :) |
35 |
> |
36 |
>> В один день Паниковский теряет свой ноутбук вместе с сертификатом. Он |
37 |
>> сообщает об этом администратору, администратор с помощью |
38 |
>> # openssl -revoke panikovsky.pem |
39 |
>> делает сертификат невалидным, выдает новый ноутбук и новый сертификат. |
40 |
>> |
41 |
>> Вопросы: |
42 |
>> 1) Как _правильно_ нужно настроить CA, чтобы Бендер мог об этом узнать |
43 |
>> о том, что сертификат скомпрометирован как можно скорее? |
44 |
>> 2) Как протестировать, что CRL действительно блокирует сертификаты в |
45 |
>> a) браузере (например firefox) |
46 |
>> б) почтовом клиенте ( например Thunderbird или Microsoft Outlook) |
47 |
>> |
48 |
> |
49 |
> Есть множество этапов, которые выполняют при проверке сертификата на |
50 |
> валидность |
51 |
> Что касается проверки на отозванность, то это вообще отдельная тема, т.к. |
52 |
> каждый строит свою |
53 |
> схему в зависимости от жесткости требований. |
54 |
> Ну например приведу более менее полную схему. |
55 |
> 1. NotBefore <= NOW <= NotAfter |
56 |
> 2. Поиск CRL для данного УЦ в хранилище. |
57 |
> 2.1 Попытка обновить CRL через CDP (CRL Distrubution Point, опциональна, |
58 |
> указывается в качестве расширения в сертификате УЦ) |
59 |
> 2.1.1 Если удалось, проверяем на присутствие в списке |
60 |
> 2.1.2 Если не удалось, можем игнорировать, при условии наличия в локальном |
61 |
> хранилище |
62 |
> неистекшего CRL, а можем обломать, в зависимости от параноидальности. |
63 |
> 3. Проверка статуса через службу OCSP, опять же возможны варианты, если не |
64 |
> удалось до нее достучаться (доверять локальному CRL или нет). |
65 |
> |
66 |
> И это еще не все. Тема вопроса обширнейшая. |
67 |
> В криптографической подсистеме винды есть даже понятие Revocation Provider, |
68 |
> т.е. это отдельная сущность, которая |
69 |
> исходя из своей логики, говорит тебе валиден сертификат или нет и которую |
70 |
> можно написать под свои требования. |
71 |
> |
72 |
> Основная беда в том, что в линуксе ничего такого централизованного нет - |
73 |
> хранилища сертификатов, единое криптоапи и т.д. |
74 |
> Да даже нецентрализованного тоже в общем то нет, openssl который с ооочень |
75 |
> большим натягом можно посчитать за стандарт |
76 |
> каждое приложение использует как ему вздумается. |
77 |
> |
78 |
> Единственное - в мозилле (firefox, thinderbird, etc) криптуха более менее |
79 |
> реализована, оно даже OCSP держит. |
80 |
> |
81 |
>> Ранее в рассылке было упомянуто решение: CRL Distribution Point, |
82 |
>> однако поиск в сети не дал желаемых результатов. |
83 |
> |
84 |
> CDP это всего лишь вершина айсберга. |
85 |
> |
86 |
>> Надеюсь мы сможем найти истину вместе :) |
87 |
>> |
88 |
> |
89 |
> Истина в том, что криптуха в линуксе в плачевном состоянии. |
90 |
> А если говорить о каком-то стандарте на уровне системы, то ее просто нет. |
91 |
> |
92 |
> Тупое решение в лоб. |
93 |
> 1. Создаешь CA с расширением id-ce-cRLDistributionPoints (CDP по простому), |
94 |
> там можно всякие URI указывать, |
95 |
> самое простое - http. Будет типа http://blabla.bla/ca.crl (на чем CA |
96 |
> поднимать не спрашивай, тут тоже все печально. самое простое - можешь из |
97 |
> openvpn выдрать) |
98 |
> 2. На CA обеспечиваешь, чтобы текущий crl был доступен по тому же урлу, что |
99 |
> и в расширении корневого сертификта. |
100 |
> 3. Магическим образом заставляешь клиентское ПО использовать проверку |
101 |
> сертификатов по CRL вытащенгному с CDP |
102 |
> (могу ошибаться, но вроде в openssl есть механизмы, которые сами это делают, |
103 |
> если с curl'ом собирать) |