(Contexto: estoy trabajando en un proceso para publicar una CRL periódicamente, por ejemplo, una vez al día).
Con los certificados X.509 estándar, se requiere que los "números de serie" sean enteros positivos, pero no es necesario que se emitan de forma estrictamente serial (1, 2, 3, etc.); funcionan más como GUID . Algunas personas incluso recomiendan los números estrictamente de serie porque implícitamente revela información sobre el negocio de la AC / volumen.
Sin embargo, los CRL son diferentes: están destinados a ser públicos, programados y se actualizan / re-firman / re-firman con frecuencia. Me pregunto cuál es la mejor manera de generar los números de "Números de CRL de X509v3", por ejemplo,
- Estrictamente serial. Almacena e incrementa un contador.
- Usa el tiempo de generación (más algún nonce). Esto no requiere un contador, pero proporciona valores únicos y monotónicos.
- Valores aleatorios. Estos son únicos pero no monotónicos.
Relacionado, ¿con qué frecuencia se debe cambiar el número de CRL? ¿Debería uno emitir un nuevo número de serie para cada actualización de pro forma (por ejemplo, el nuevo tiempo de vencimiento con la lista de revocaciones sin cambios) o solo cuando hay un cambio sustantivo (por ejemplo, una revocación adicional) ).