¿Qué hacer con los certificados caducados como CA?

Question

¿Qué hacer con los certificados caducados como CA?

#1 de Tom Leek (8 votos)
#2 de AJ Henderson (1 votos)

4

Esto y esta respuesta dice que" una vez que un certificado ha caducado, la CA deja de hacer un seguimiento de su estado de revocación ".

Estoy tratando de aprender cómo funciona OpenSSL como CA. Si tengo un certificado caducado revocado en mi index.txt, este certificado no se excluye automáticamente al generar una CRL.

Así que mis preguntas son:

¿Cómo puedo evitar que los certificados caducados aparezcan en la CRL?

¿Debo eliminar todos mis certificados caducados por completo?
Si es así: ¿necesito editar manualmente index.txt para eliminarlo de la base de datos? (No puedo encontrar ningún argumento para openssl ca que elimina certificados de la base de datos)

certificate-authority openssl

pregunta Stian Fauskanger 09.07.2013 - 11:50

fuente

2 respuestas

Lea otras preguntas en las etiquetas certificate-authority openssl

¿Cómo evita YouTube la piratería automática? ¿Un "spam de nuevo registro de dominio"?

score 8 · Answer 1

La documentación no habla de ello, pero sí una mirada a código fuente de OpenSSL , en el archivo apps/ca.c , parece indicar que la opción de línea de comando -updatedb activará una eliminación de la base de datos index.txt , convertir los certificados caducados al estado "caducado", que reemplaza el estado anterior "revocado" o "no revocado".

(OpenSSL no es el paquete de software mejor documentado, especialmente para las herramientas de línea de comandos. La lectura del código fuente suele ser necesaria).

score 1 · Answer 2

No veo ninguna razón por la que no pueda eliminarlos manualmente y eliminar cualquier registro de ellos que se haya creado. No estoy seguro si hay una forma automática o no. El punto de mantener una lista de ellos es que alguien debe poder verificar si el certificado es válido. Si tienen una fecha válida, entonces sabrán que ya no es válida, independientemente de que haya sido revocada antes de su vencimiento. Lo único que haría al dejarlo en la CRL sería que alguien con un mal reloj aún supiera que estaba vencido, siempre y cuando realmente pudiera ponerse en contacto con la CRL.