¿Qué son los certificados de atributo? ¿Por qué alguien particiona un certificado por códigos de razón?

3

En " Cómo funciona la revocación de certificados " una breve mención de La partición del certificado de atributo y del código de razón se realiza:

  

Si es validado por un cliente que admite CRL particionadas e indirectas,   La extensión IDP permite al cliente determinar el alcance necesario.   de una CRL cuando un certificado de CA se renueva o se vuelve a ingresar. Para ventanas   Las CA de servidor, la extensión IDP puede limitar la información de revocación en un   CRL solo para certificados de entidad final o certificados CA. CryptoAPI   no admite certificados de atributo o CRL de partición por motivo   códigos.

¿Qué son los certificados de atributo en este contexto, qué son los códigos de razón aquí?

¿Es esta una nueva tecnología o es algo que solo ofrecen las CA experimentales, caras o raras?

    
pregunta random65537 02.06.2012 - 05:19
fuente

1 respuesta

1

Comprobación del estado y revocación del certificado discute algunas de estas opciones

Partición

Aunque no sé por qué se particionaría un certificado, hay un problema de soporte interesante con respecto a los clientes y servidores de Windows. Las CA de Windows no admiten la emisión de CRLS particionadas en absoluto.

Cuando el sistema criptográfico de Windows verifica un certificado, solo verifica los valores de IssuingDistributionPoint de onlyContainsUserCerts o only ContainsCACerts . No se admiten otros campos. Además, las extensiones HoldInstructionCode , InvalidityDate , CertificateIssuer o IssuerAltName serán ignoradas si no son críticas, o fallan si están marcadas como críticas según RFC 3280.

Además, en Windows, los campos "onlySomeReasons" y "indirectCRL" del IDP no es compatible.

CRL Códigos de razón

El proceso de revocación invalida un certificado antes de su fecha de validez final utilizando uno de los códigos de razón CRL.

Nota Windows no admite la partición de CRL por código de razón, ya sea como servidor o cliente. No tengo más información sobre qué software soporta la partición (como servidor o cliente) o por qué uno lo necesitaría

Cuando se revoca un certificado, es posible que el emisor de un certificado especifique por qué se tomó la acción. Esto se hace especificando un motivo de revocación; estas razones están definidas por RFC 3280 e incluyen lo siguiente:

  • Compromiso de la clave La ubicación del token o disco donde la clave privada asociada con el certificado ha sido comprometida y está en posesión de una persona no autorizada. Esto puede incluir el caso en el que se roba una computadora portátil o se pierde una tarjeta inteligente.

  • Compromiso de CA La ubicación del token o disco donde se almacena la clave privada de la CA se ha comprometido y está en posesión de una persona no autorizada. Cuando se revoca la clave privada de una CA, esto hace que todos los certificados emitidos por la CA firmados con la clave privada asociada al certificado revocado se consideren revocados.

  • Cambio de afiliación La relación del usuario con la organización ha finalizado, indicado en el atributo DN del certificado. Este código de revocación se usa con mayor frecuencia cuando un individuo es despedido o ha renunciado a una organización. No tiene que revocar un certificado cuando un usuario cambia de departamento, a menos que su política de seguridad requiera que un certificado de certificación sea expedido por una autoridad de certificación del departamento.

  • Reemplazado Se ha emitido un certificado de reemplazo para un usuario, y el motivo no corresponde a los motivos anteriores. Este motivo de revocación se utiliza con mayor frecuencia cuando falla una tarjeta inteligente, el usuario olvida la contraseña de un token o el nombre legal del usuario ha cambiado.

  • Cese de la operación Si una CA se da de baja (ya no se usa), el certificado de la CA se debe revocar con este código de razón. No revoque el certificado de la AC si la CA ya no emite nuevos certificados, pero aún publica CRL para los certificados emitidos actualmente.

  • Retención del certificado Una revocación temporal que indica que una CA no responderá por un certificado en un momento específico en el tiempo. Una vez que un certificado se revoca con un código de razón de CertificateHold, el certificado se puede revocar con otro código de razón, o se puede revocar y volver a usar.

Nota Si bien CertificateHold permite que un certificado sea "no revocado", no se recomienda poner una retención en un certificado, ya que es difícil determinar si un certificado fue válido por un tiempo específico.

  • RemoveFromCRL Si se revoca un certificado con el código de motivo de CertificateHold, es posible "revocar" un certificado. El proceso de cancelación de llamadas aún muestra el certificado en la CRL, pero con el código de razón establecido en RemoveFromCRL. Esto es específico a la razón de CertificateHold y solo se usa en DeltaCRLs.

  • Sin especificar Si bien es posible revocar un certificado con el código de razón "Sin especificar", no se recomienda, ya que no proporciona un registro de auditoría de por qué se revoca un certificado.

respondido por el random65537 02.06.2012 - 16:55
fuente