-
IT café
Új hozzászólás Aktív témák
-
dqdb
Topikgazda
válasz sghc_toma #17783 üzenetére
Szinte minden tanúsítványban szerepel arra nézve információ, hogyan lehet megállapítani az érvényességét* (itt most nem az olyan evidens dologra kell gondolni, hogy lejárt-e, hanem arra, hogy valamilyen biztonsági esemény hatására visszavonták). Ez vagy egy CRL distribution point címe (CRL Distribution Points extension), vagy egy OCSP responder elérhetősége (Authority Information Access extension). Sok esetben mindkettő egyszerre elérhető, ilyenkor az ellenőrzést végző program döntésén múlik, melyik módszerre dönt (az elterjedt megoldás az, ha van OCSP információ, akkor azon keresztül történik az ellenőrzés, ha nincsen, akkor CRL-en keresztül). Azon tanúsítványokat, amelynél egyik ellenőrzési módszer sem elérhető, éles környezetben maximum zárt rendszerben "illik" használni, mert nem ellenőrizhető a hitelessége (egy komplex rendszerben SSL csatorna létrehozására általában tökéletesen megfelel ilyen tanúsítvány is, azonban ha egy ilyennel írsz alá egy S/MIME levelet, akkor a címzett nyugodtan kiröhöghet érte).
Egy CRL nem más, mint némi információ (verziószám, mikor került kiállításra, mikor lesz következő CRL kiadás) és a visszavont tanúsítványok listája (adatspórolás céljából nem a teljes X.509 tanúsítványok, hanem csak a sorozatszámuk szerepel, ez a CA-n belül egyedi) visszavonási időponttal és visszavonási okkal kiegészítve, amit a CA aláír. Sajnos az teljesen a CA döntése, hogy új visszavont tanúsítvány esetén azonnal kiad új CRL-t, vagy ezzel vár az aktuális CRL-ben jelzett időpontig (ez az a pont, amiért az OCSP-t jobban szeretik). A tanúsítvány aktuális állapotának CRL-en keresztüli ellenőrzésének módszere a következő:
1. a kliensprogram a tanúsítványban található CRL DP-k közül az egyik címről (általában HTTP, ritkán LDAP) letölti a CRL-t
2. megnézi, hogy szerepel-e benne a tanúsítvány visszavontkéntÍgy néz ki egy CRL fájl, ha valaki kíváncsi rá. Érdemes lementeni, és úgy megnyitni, különben hibaüzenet lesz a vége.
OCSP esetén a megadott címen a kliensprogram megkérdezi a CA-hoz tartozó OCSP respondertől, hogy érvényes-e még az a tanúsítvány. A responder vagy a CA, vagy az OCSP responder tanúsítványával aláírva válaszol erre a kérésre:
1. igen, az OCSP válasz létrehozásának pillanatában érvényes, vagy
2. nem, ekkortól és emiatt nem érvényesA jelzett címen használt SSL tanúsítványban csak CRL DP szerepel, OCSP nem. Megnéztem, a CRL elérhető, szóval a tanúsítvány érvényessége ellenőrizhető. Innentől kezdve az Opera hülyesége, hogy alapbeállítás szerint kizárólag OCSP-t hajlandó használni, némileg növelve ezzel a biztonságot, de "jó" szokásuk szerint szívatva ezzel a felhasználót.
A két nagy magyar CA közül a Microsec e-Szignó olyan tanúsítványokat ad ki, amelyekben szerepel OCSP infó (szóval ezek az oldalak rendben lesznek Operával nézve), míg a NetLock olyanokat, ahol nem (a különböző B/C/üzleti/... CA-juk közül párat néztem meg 1-2 évvel ezelőtt, lehet, hogy ez változott azóta).
* végig csak a visszavont tanúsítványokról beszéltem, a felfüggesztettekről nem, mert ez utóbbiak mechanizmusában nem vagyok annyira járatos, és nem akartam hülyeséget írni (emlékeim szerint itt van CRL és OCSP között némi különbség).
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
Új hozzászólás Aktív témák
Kérdés előtt olvasd el az
összefoglalót!
- Megmaradt - Eredeti Humble, Choice - Steam kulcsok
- Autómatricák a legjobb minőségben, több ezer minta! PH tagoknak 30% kedvezmény!
- Microsoft licencek KIVÉTELES ÁRON AZONNAL - UTALÁSSAL IS AUTOMATIKUS KÉZBESÍTÉS - Windows és Office
- Bitdefender Total Security 3év/3eszköz! - "Tökéletes védelem most kedvező áron..."
- Eladó Steam kulcsok kedvező áron!
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Ozeki Kft.
Város: Debrecen