Preguntas con respecto a las CRL (producidas y no modificadas)

Question

Preguntas con respecto a las CRL (producidas y no modificadas)

Navega tus respuestas

#1 de StackzOfZtuff (3 votos)

3

Tengo dos preguntas relacionadas con la seguridad de solicitar CRL.

Mi primera pregunta es: ¿no deberían las CRL contener un campo producedAt al igual que las respuestas de OCSP? Esto aseguraría que un pirata informático no envíe una CRL antigua (pero aún no caducada) al cliente, ¿verdad? ¿Por qué no se hace esto? ¿Es porque las CRL son más grandes y firmarlas cada vez costaría demasiado tiempo? ¿O es porque las CRL se ven como archivos estáticos (lo que no sería una buena razón)?
Entonces mi segunda pregunta. He visto que mi navegador solicitó una CRL con un encabezado HTTP If-Modified-Since . El servidor respondió con un código 304 - Not Modified . ¿No sería esta también una forma fácil para que los piratas informáticos retengan las actualizaciones a una CRL (siempre y cuando el antiguo siga siendo válido)?

tls certificates x.509 ocsp crl

pregunta SWdV 07.01.2016 - 22:43

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates x.509 ocsp crl

Detectar troyanos / keylogger / virus en una red de negocios Cómo eliminar posibles archivos de virus

score 3 · Accepted Answer

[...] ¿es porque los CRL se ven como archivos estáticos [...]?



¿No sería esta también una forma fácil para que los piratas informáticos retengan las actualizaciones a una CRL (siempre que la antigua aún sea válida)?

Sí. Ambas limitaciones son conocidas. Y a partir de la forma en que leí el RFC, ambas son elecciones de diseño deliberadas.

De la RFC 5280, sección 3.3 Revocation : (énfasis mío)

Una ventaja de este método de revocación es que las CRL pueden ser   distribuidos por los mismos medios que los certificados,   a saber, a través de servidores no confiables y comunicaciones no confiables.

Una limitación del método de revocación de CRL, el uso no confiable   comunicaciones y servidores, es que la granularidad de tiempo de   la revocación se limita al período de emisión de CRL . Por ejemplo, si un   La revocación se informa ahora, esa revocación no será confiable   notificado a los sistemas que utilizan certificados hasta que se hayan emitido todos los CRL actualmente   están programados para ser actualizados - esto puede ser de hasta una hora, un día,   o una semana, dependiendo de la frecuencia con la que se emiten las CRL.

Lectura adicional

Pregunta relacionada: 2015-12-28, ¿Por qué tantos navegadores muestran sitios con certificados revocados?