Revisar la firma cuando se publicará la próxima CRL después del final de la validez del certificado

Navega tus respuestas
0

Mi situación se ve así:

Tengo que verificar la firma en el documento. Para esto esperaré cuando se publique la próxima CRL para verificar que el certificado involucrado no fue revocado. Pero, ¿qué sucede si el certificado finaliza (no Después de la validez del certificado) antes de la próxima actualización de CRL?

Esquemáticamente:

  1. publicación de CRL
  2. Creación de firma
  3. Caducidad del certificado (no después del tiempo del certificado)
  4. publicación de CRL

Supongamos que el certificado fue revocado entre (1) y (4). Creo que no estará en CRL (4) porque ya no es válido. Pero en este tipo de escenario no puedo validar la firma, ¿o puedo?

    
pregunta Mumbar 09.01.2015 - 16:29
fuente

2 respuestas

1

No eres el primero en pensar en esto. Ver la ultima frase en PKIX rfc5280 3.3

  

X.509 define un método de revocación de certificado. Este método      implica que cada CA emita periódicamente una estructura de datos firmada llamada      una lista de revocación de certificados (CRL). Una CRL es una lista con marca de tiempo ... A      la nueva CRL se emite de forma periódica periódica (por ejemplo, cada hora, diariamente,      o semanalmente). Se agrega una entrada a la CRL como parte de la próxima actualización.      Tras la notificación de revocación. Una entrada NO DEBE ser eliminada      desde la CRL hasta que aparezca en una CRL programada regularmente emitida      más allá del período de validez del certificado revocado.

PS: El sustantivo es "revocación" pero el verbo es "revocar" y el tiempo pasado "revocado".

    
respondido por el dave_thompson_085 14.02.2015 - 00:33
fuente
0

Deberías ver el problema de manera diferente. Si el certificado fue revocado entre (1) y (4), todavía podrá verificar la firma en cualquier caso . El problema real es: ¿es válido el certificado del firmante en el momento de la firma? A partir de la fecha de vencimiento, el certificado ya no es válido porque ya no está "certificado" por su CA debido a la duración del certificado (esto no implica que la clave privada esté comprometida).

Espero que esta ayuda.

    
respondido por el crypto-learner 12.01.2015 - 23:07
fuente

Lea otras preguntas en las etiquetas

Función unidireccional para sincronización de datos Tipo de conexión SSL utilizada al visitar los servicios de Google