Соображения по отзыву сертификатов для периодически изолированных сетей

Question

Соображения по отзыву сертификатов для периодически изолированных сетей

Я пытаюсь выбрать стратегию отзыва сертификатов для решения, которое я разрабатываю (которое будет использовать Dogtag PKI, по запросу клиента). Очевидный выбор, кажется, использовать CRL или OCSP. Я пытаюсь понять практические последствия обоих и выбрать тот, который может поддержать это конкретное решение.

Я думаю, что основная проблема здесь заключается в том, что, хотя клиенты будут время от времени иметь сетевой доступ к инфраструктуре PKI, им также необходимо будет работать в изолированной локальной сети. В этом случае использования два клиента должны иметь возможность аутентифицировать друг друга напрямую (включая проверку отзыва сертификата центральным органом) без доступа, например, к респонденту OCSP.

Одно из этих решений (CRL/OCSP) лучше подходит для кэширования / автономной работы?
Правильно ли характеризовать CRL как черный список, а OCSP - как белый список (который может кэшироваться локально, возможно, по частям для известных партнеров)?
Я задаю не тот вопрос? (Возможно, другое подходящее решение или другой подход к проблеме?)

1

security certificate crl ocsp rhcs

Источник

G__ 06 апр '11 в 15:57

1 ответ

Решение

Другие вопросы по тегам security certificate crl ocsp rhcs

Shane Madden 06 апр '11 в 16:24 2011-04-06 16:24 · Accepted Answer · 2011-04-06 16:24

OCSP - это просто другое средство для достижения той же цели: проверка того, был ли отозван определенный сертификат. Оба можно считать черным списком; с помощью CRL клиент захватит весь список и проверит сам отдельный сертификат, а с помощью OCSP он отправляет запрос на получение статуса отдельного сертификата без необходимости загрузки полного списка.

OSCP, как следует из названия, онлайн-протокол; это не подходит для кэширования. Использование CRL было бы способом перейти в автономный режим; так как они могут стать большими и проверки требуются довольно часто, большинство операционных систем будут хранить кэш CRL, которые они использовали в последнее время (конечно, в зависимости от используемого приложения), что в значительной степени соответствовало бы вашим требованиям. ищу. Кроме того, используйте все необходимые средства, чтобы донести этот CRL-файл до клиентов, и у корневого сертификата есть список для CDP, к которому они могут получить доступ локально.

Тем не менее, есть определенные недостатки. Очевидно, что кэширование сопряжено с риском допустить отозванный сертификат с устаревшим CRL или, с другой стороны, столкнуться с неправильной синхронизацией по истечении срока действия CRL, и ваш кэшированный CRL будет отброшен перед повторным подключением к сети. Кроме того, убедитесь, что корневой сертификат не содержит дельта-CRL; это значительно сократило бы эффективный срок службы кэширования, потребовав текущей копии кратковременной дельты для каждой проверки.

Срок службы CRL будет самым большим соображением дизайна; вам нужно будет сбалансировать потребность клиентов иметь рабочие копии в любое время, с какой задержкой допустимо, чтобы отозванный сертификат гарантированно больше не был доверенным.