¿Por qué no establecer la CRL de la CA raíz para que la Sub-CA sea realmente larga?

2

Estoy diseñando una PKI AD-CS de dos niveles y, en lo que respecta a la CA raíz, me cuesta entender el período de validez de la CRL que se usa para validar las CA de las CA.

La documentación parece recomendar 3 meses, 6 meses o 1 año, pero lo que realmente no entiendo es, ¿por qué ya no?

Estoy planificando certificados de 5 años para los CA sub para que se renueven a los 2,5 años, siguiendo el ciclo de vida media. ¿Por qué, entonces, debo configurar la CRL desde la raíz para que sea menos que eso y solo causar una sobrecarga administrativa de encender la raíz cada pocos meses para actualizar la CRL?

Estoy pensando para qué se usa realmente una CRL y entiendo que cuanto más largo es el período de validez de una CRL, más tiempo permanece en la caché de un cliente. Pero, también estoy pensando en las circunstancias en las que podría revocar el certificado de una sub-CA, es decir, un compromiso clave.

¿Entonces se supone que debo esperar varios meses o incluso un año para que las entidades finales actualicen su CRL en caché con la más reciente, que contendrá el certificado de CA revocado y solo así dejarán de confiar y utilizar los certificados emitidos por CA comprometida?

¿Seguramente se tomarán medidas de remediación inmediata? Revocar la CA será el primer paso, pero luego presentaré una nueva sub-CA, crearé un nuevo par de claves y comenzaré a emitir nuevos certificados a todas las entidades, agregaré la CA comprometida a su tienda no confiable, borrando manualmente su caché de CRL y obligándolos a obtener el nuevo.

Parece que la rutina de poner el Root CA en línea cada pocos meses es solo una ceremonia innecesaria porque cuando llegue el momento, esa larga validez de CRL será inútil. ¿No tendría más sentido solo poner la raíz en línea para emitir una nueva CRL si la sub-CA necesita ser revocada?

    
pregunta slinkoff 13.10.2016 - 17:25
fuente

1 respuesta

2

Estoy completamente de acuerdo con usted: parece que comprende las complejidades del problema.

Veamos los extremos:

  1. CRL Lifetime = subCA Lifetime. == > el CRL es completamente inútil; no tiene la capacidad de revocar el subCA porque mientras la CRL anterior esté dentro de su período de validez, los clientes no tienen ninguna razón para buscar uno nuevo, desafortunadamente, así es como funcionan los protocolos.

  2. Vida útil de CRL = 1 hora. Tenemos que cambiar nuestra forma de pensar acerca de las CA raíz "sin conexión".

Estoy de acuerdo en que 3 meses o 1 año parece ser el compromiso peor del mundo.

Las CA de producción de alto valor con las que he trabajado adoptan este último enfoque y mantienen a las CA raíz en una "zona de cortafuegos raíz" que permite que los datos de CRL salgan, sean recogidos y publicados por una máquina en la DMZ, pero no hay otras conexiones Aún necesita acceso físico a la caja de la CA raíz para cualquier otra cosa que no sea la búsqueda de CRL. Los auditores con los que trabajamos están satisfechos de llamarlo "espacio vacío".

¡Incluso escuché de una solución inteligente que envía datos de CRL a través del conector de audio Line-Out!

    
respondido por el Mike Ounsworth 13.10.2016 - 18:07
fuente

Lea otras preguntas en las etiquetas