¿Qué bits de datos se revocan en una CRL? ¿Es el hash (CSR) o hash (firma CSR + PKI)

Navega tus respuestas
1

Entiendo que una CSR contiene la clave pública del cliente, y la respuesta es una versión firmada de esa CSR, con ciertos atributos (EKU, vencimiento) y otros atributos que la CA decide agregar arbitrariamente.

Cuando se revoca una clave en una CSR, ¿el hash de la clave pública se menciona en la CSR o solo la versión PKI de la clave pública?

Por el bien de los argumentos, supongamos que quiero usar el mismo par de clave privada / pub RSA para muchos usos, aunque esto puede ser una mala idea en la realidad. Como resultado, genero 3 certificados, con el EKU correspondiente a continuación

  • firma
  • autenticación
  • Cifrado

¿Una revocación afectará a los tres usos de la misma clave privada? ¿O la revocación solo afectará a un certificado dado?

    
pregunta random65537 11.03.2015 - 19:59
fuente

1 respuesta

0

Basado en esta respuesta de Thomas Pornin:

  

La revocación se realiza por certificado. Lo que se revoca es el certificado (es decir, el enlace entre su clave y su identidad), no la clave. Por supuesto, si varias CA han emitido certificados que vinculan su clave a su nombre y su clave es robada, entonces le gustaría que todos estos certificados sean revocados. Sin embargo, si una CA revoca su certificado por alguna otra razón (por ejemplo, no pagó una tarifa anual de "mantenimiento de certificados"), esto no tiene ningún impacto en el estado de revocación de los certificados emitidos por otra CA, incluso si tienen el mismo nombre. (suya) y la misma clave pública (también suya) que el certificado revocado.

    
respondido por el random65537 11.03.2015 - 20:40
fuente

Lea otras preguntas en las etiquetas

API REST segura sin inicio de sesión para muy pocos clientes Requisitos de firewall para los proveedores de servicios SaaS