2. Fórumok
  3. OS, alkalmazások
  4. Opera böngésző
  5. (kiemelt téma)

Új hozzászólás Aktív témák

  • #17785 dqdb Topikgazda sghc_toma #17783
    Új Válasz #17785
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    dqdb

    Topikgazda

    válasz sghc_toma #17783 üzenetére

    Szinte minden tanúsítványban szerepel arra nézve információ, hogyan lehet megállapítani az érvényességét* (itt most nem az olyan evidens dologra kell gondolni, hogy lejárt-e, hanem arra, hogy valamilyen biztonsági esemény hatására visszavonták). Ez vagy egy CRL distribution point címe (CRL Distribution Points extension), vagy egy OCSP responder elérhetősége (Authority Information Access extension). Sok esetben mindkettő egyszerre elérhető, ilyenkor az ellenőrzést végző program döntésén múlik, melyik módszerre dönt (az elterjedt megoldás az, ha van OCSP információ, akkor azon keresztül történik az ellenőrzés, ha nincsen, akkor CRL-en keresztül). Azon tanúsítványokat, amelynél egyik ellenőrzési módszer sem elérhető, éles környezetben maximum zárt rendszerben "illik" használni, mert nem ellenőrizhető a hitelessége (egy komplex rendszerben SSL csatorna létrehozására általában tökéletesen megfelel ilyen tanúsítvány is, azonban ha egy ilyennel írsz alá egy S/MIME levelet, akkor a címzett nyugodtan kiröhöghet érte).

    Egy CRL nem más, mint némi információ (verziószám, mikor került kiállításra, mikor lesz következő CRL kiadás) és a visszavont tanúsítványok listája (adatspórolás céljából nem a teljes X.509 tanúsítványok, hanem csak a sorozatszámuk szerepel, ez a CA-n belül egyedi) visszavonási időponttal és visszavonási okkal kiegészítve, amit a CA aláír. Sajnos az teljesen a CA döntése, hogy új visszavont tanúsítvány esetén azonnal kiad új CRL-t, vagy ezzel vár az aktuális CRL-ben jelzett időpontig (ez az a pont, amiért az OCSP-t jobban szeretik). A tanúsítvány aktuális állapotának CRL-en keresztüli ellenőrzésének módszere a következő:
    1. a kliensprogram a tanúsítványban található CRL DP-k közül az egyik címről (általában HTTP, ritkán LDAP) letölti a CRL-t
    2. megnézi, hogy szerepel-e benne a tanúsítvány visszavontként

    Így néz ki egy CRL fájl, ha valaki kíváncsi rá. Érdemes lementeni, és úgy megnyitni, különben hibaüzenet lesz a vége.

    OCSP esetén a megadott címen a kliensprogram megkérdezi a CA-hoz tartozó OCSP respondertől, hogy érvényes-e még az a tanúsítvány. A responder vagy a CA, vagy az OCSP responder tanúsítványával aláírva válaszol erre a kérésre:
    1. igen, az OCSP válasz létrehozásának pillanatában érvényes, vagy
    2. nem, ekkortól és emiatt nem érvényes

    A jelzett címen használt SSL tanúsítványban csak CRL DP szerepel, OCSP nem. Megnéztem, a CRL elérhető, szóval a tanúsítvány érvényessége ellenőrizhető. Innentől kezdve az Opera hülyesége, hogy alapbeállítás szerint kizárólag OCSP-t hajlandó használni, némileg növelve ezzel a biztonságot, de "jó" szokásuk szerint szívatva ezzel a felhasználót.

    A két nagy magyar CA közül a Microsec e-Szignó olyan tanúsítványokat ad ki, amelyekben szerepel OCSP infó (szóval ezek az oldalak rendben lesznek Operával nézve), míg a NetLock olyanokat, ahol nem (a különböző B/C/üzleti/... CA-juk közül párat néztem meg 1-2 évvel ezelőtt, lehet, hogy ez változott azóta).

    * végig csak a visszavont tanúsítványokról beszéltem, a felfüggesztettekről nem, mert ez utóbbiak mechanizmusában nem vagyok annyira járatos, és nem akartam hülyeséget írni (emlékeim szerint itt van CRL és OCSP között némi különbség).

    tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

Új hozzászólás Aktív témák