¿Qué CRL debe contener una CA crlDistributionPoint intermedia?

Navega tus respuestas
2

Dada una autoridad de certificado (CA) raíz y una CA intermedia firmada por la raíz:

  1. ¿Qué CRL deben contener los crlDistributionPoints para la CA intermedia? ¿La CRL de la CA raíz o la CRL de la CA intermedia?

    Tiene sentido que cada certificado debe apuntar a la CRL de la CA que lo firmó.

  2. ¿Qué CRL debería contener la CA raíz, si corresponde?

    Parece que, dado que está autofirmado, debería apuntar a su propia CRL.

  3. ¿Deben los certificados de usuario o servidor firmados por la CA intermedia apuntar a la CRL de la CA intermedia, o tanto a la CRL del intermediario como a la raíz?

Por favor, cita el RFC si puedes. Yo mismo no puedo encontrar una respuesta clara.

Preguntado de otra manera, ¿dónde buscaría un cliente una CRL para ver si un certificado dado ha sido revocado? ¿En el certificado en sí mismo o en el certificado de CA firmante?

    
pregunta Brad Waite 14.11.2015 - 19:53
fuente

1 respuesta

2
  

¿Qué CRL deben contener los crlDistributionPoints para la CA intermedia? ¿La CRL de la CA raíz o la CRL de la CA intermedia?

Los puntos de crlDistribution deben apuntar a la CRL que contendrá la revocación del certificado en sí. Por lo tanto, en el caso de una CA intermedia, esta será probablemente la CRL firmada por la CA emisora, aunque puede ser cualquier otra CA siempre que se pueda construir una ruta de confianza.

  

¿Qué CRL debería contener la CA raíz, si corresponde?

La CA raíz no puede ser revocada. La confianza para la CA raíz no se establece mediante certificados, sino porque está integrada como pre-confiable en el navegador o sistema operativo. Esto significa que si la CA raíz se daña, debe eliminarse del navegador / sistema operativo sin ningún tipo de mecanismo de CRL.

  

Los certificados de usuario o servidor firmados por la CA intermedia deben apuntar a las CA intermedias ...

Nuevamente, deberían apuntar a la CRL que eventualmente contendrá el registro de revocación. Cuál es la CRL depende de cómo se implementa la revocación en la CA.

  

¿dónde buscaría un cliente una CRL para ver si un certificado dado ha sido revocado? ....

El cliente examina el posible certificado revocado y extrae los puntos crlDistribution de este certificado. Luego descarga la CRL desde este punto y comprueba si contiene el número de serie del certificado.

    
respondido por el Steffen Ullrich 14.11.2015 - 20:27
fuente

Lea otras preguntas en las etiquetas

¿TrustManager PKIX (o RFC 3280 / X.509) realmente verifica la fecha de vencimiento del certificado de cliente? Cifrado y rendimiento de iOS