Tengo dos preguntas relacionadas con la seguridad de solicitar CRL.
-
Mi primera pregunta es: ¿no deberían las CRL contener un campo
producedAt
al igual que las respuestas de OCSP? Esto aseguraría que un pirata informático no envíe una CRL antigua (pero aún no caducada) al cliente, ¿verdad? ¿Por qué no se hace esto? ¿Es porque las CRL son más grandes y firmarlas cada vez costaría demasiado tiempo? ¿O es porque las CRL se ven como archivos estáticos (lo que no sería una buena razón)? -
Entonces mi segunda pregunta. He visto que mi navegador solicitó una CRL con un encabezado HTTP
If-Modified-Since
. El servidor respondió con un código304 - Not Modified
. ¿No sería esta también una forma fácil para que los piratas informáticos retengan las actualizaciones a una CRL (siempre y cuando el antiguo siga siendo válido)?