1 |
Здравствуйте! |
2 |
|
3 |
Я попытался проверить как работает CRL в openssl, и написал, что из |
4 |
этого вышло. К сожалению похвастаться нечем: при выполнении команды |
5 |
|
6 |
openssl verify -verbose -crl_check -CAfile cacert.pem usercert.pem |
7 |
|
8 |
получаю фигвам -- unable to get certificate CRL; Почему? После |
9 |
полутарочасового копания в исходниках я обнаружил, что в OpenSSL есть |
10 |
косяк. Дело в том, что при поиске CRL сравниваются два поля: Issuer |
11 |
сертификата, который выглядит примерно так: |
12 |
|
13 |
Issuer: O=TestCompany, CN=Root CA |
14 |
|
15 |
и Issuer списка отозванных сертификатов (CRL) |
16 |
|
17 |
Issuer: /O=TestCompany/CN=Root CA |
18 |
|
19 |
А они почему-то оказались не равны... Почему? А в исходниках коммент: |
20 |
|
21 |
Retrieve CRL corresponding to certificate: currently just a |
22 |
subject lookup: maybe use AKID later... |
23 |
|
24 |
Думаю, что естественней было бы сравнивать не Issuerы а Authority Key |
25 |
Identifierы |
26 |
|
27 |
Вывод: есть два варианта: либо я что-то не так сгенерировал, либо |
28 |
openssl-0.9.8h не поддерживает CRL из-за этого бага. То есть скорее |
29 |
всего раньше поддерживал, а потом были внесены изменения, и т.д. |
30 |
|
31 |
С уважением, |
32 |
Антон Ананич |
33 |
|
34 |
2009/1/7 Vlad SATtva Miller <sattva@××××××××××.info>: |
35 |
> Anton Ananich (07.01.2009 02:11): |
36 |
>> Трудно не согласиться, ведь если бы с криптографией в gentoo не было |
37 |
>> проблем, то я бы и не стал вопрос задавать :-) |
38 |
> |
39 |
> Здесь имеет место подмена понятий. Утверждать, что в Линуксе вообще и в |
40 |
> Генте в частности проблема с криптографией значит не понимать ни того, |
41 |
> ни другого (с тем же успехом можно заявить, что в Линуксе проблемы с |
42 |
> профессиональной 3d-графикой, потому что не работает Макс). Речь в |
43 |
> данном треде идёт конкретно об X.509 PKI, который успешно поддерживается |
44 |
> де-факто стандартный openssl. При этом ничто не мешает построить |
45 |
> инфраструктуру на основе более гибкого OpenPGP. |
46 |
> |
47 |
>> На счет openssl и curl не совсем понятно: поизводится ли в принципе |
48 |
> <trimmed> |
49 |
> |
50 |
>> Вопросы: |
51 |
>> 1) Как _правильно_ нужно настроить CA, чтобы Бендер мог об этом узнать |
52 |
>> о том, что сертификат скомпрометирован как можно скорее? |
53 |
>> 2) Как протестировать, что CRL действительно блокирует сертификаты в |
54 |
>> a) браузере (например firefox) |
55 |
>> б) почтовом клиенте ( например Thunderbird или Microsoft Outlook) |
56 |
> |
57 |
> http://openssl.org/docs/apps/x509v3_config.html#CRL_distribution_points_ |
58 |
> http://www.openssl.org/docs/apps/ocsp.html |
59 |
> |
60 |
> -- |
61 |
> SATtva | security & privacy consulting |
62 |
> www.vladmiller.info | www.pgpru.com |
63 |
> |
64 |
> |
65 |
> |