Re: отзыв subCA без перевыпуска сертификатов
Eugene Berdnikov writes:
> On Mon, Jan 12, 2015 at 12:21:16AM +0200, Maksym Tiurin wrote:
>> Расклад такой:
>> 1. Есть свой CA который находится в доверенном окружении.
>> 2. Есть subCA, подписанный CA, который выпускает сертификаты для
>> клиентов. К сожалению, он может быть скомпрометирован. Про его
>> компрометацию и ее дату мы будем знать.
>
> Что даст знание даты, если ключ скомпроментирован?
>
>> Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты?
>> Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались
>> валидными.
>
> Зачем? Зная ключ, можно подписать ЛЮБЫЕ даты, поставленные от фонаря.
Вот это как-то вылетело из головы :(
Спасибо.
>
>> openssl verify и certtool --verify считают что если subCA отозван по
>> любой причине то все выпущенные им сертификаты уже не валидны. Не взирая
>> на даты выпуска сертификата и отзыва subCA.
>> Если при отзыве subCA дата в -crl_compromise никак не учитывается и
>
> Что такое "-crl_compromise", где Вы его нашли?
В openssl.
Получается оно имеет смысл только там где дату непросто подделать.
Например в подписывании электронной почты.
--
With Best Regards, Maksym Tiurin
JID: MrKooll@jabber.pibhe.com
Reply to: