Estoy tratando de envolver mi cabeza alrededor de OCSP revocationTime
para el certificado de D-Link.
I contesté recientemente otra pregunta y terminó redactando una línea de tiempo.
Esa línea de tiempo es básicamente esto:
Jul 5 00:00:00 2012 GMT. Validity: Not Before
Feb 27 2015 Inadvertent disclosure
--- six months of nothing ---
Sep 3 00:00:00 2015 GMT. OCSP "revocationTime" backdated to this.
--- one day of invalidity (?) ---
Sep 3 23:59:59 2015 GMT. Validity: Not After
Sep 17 2015 Tweakers.net report
Sep 18 2015 TheRegister.co.uk report
Sep 20 14:00 2015 Is-it-revoked-yet?-question posted.
Sep 20 2015 Answer posted. OCSP 'good'
Sep 22 2015 Update answer posted. OCSP 'revoked'
Y la pregunta es esta:
- ¿El movimiento de D-Link invalida retroactivamente solo 1 día de posible uso / mal uso de su clave?
O preguntado de manera diferente:
- ¿Funcionará un EXE (hipotético) firmado el 2 de septiembre con la clave AUSENTE robada a pesar de la revocación?
Y como una pregunta de lado / fondo:
- ¿Cuál es la idea general con
revocationTime
de OCSP? ¿Debes suponer una fecha retroactiva para el primer momento en el que crees que la clave se vio comprometida? (Traté de hacer mi investigación. Pero estoy atascado. No pude encontrar la explicación en el OCSP RFC . Y un publicación de 2012 en la lista de correo PKIX de Martin Rex , no aclarar exactamente las cosas para mí tampoco.)