x.509 CRLs: ¿próxima actualización?

5

Una lista de revocación de certificados X.509 contiene un campo que especifica cuándo se espera que se emita la siguiente lista. Estoy tratando de averiguar la importancia de este campo ... Sé que a veces los certificados se colocan en una lista de "no usar", y esto debe actualizarse constantemente. Pero también siento que la CRL se actualiza regularmente, así que, ¿de qué sirve tener este campo de todos modos? ¿Por qué no usar un horario fijo?

    
pregunta SwaroopGiwali 02.10.2012 - 12:58
fuente

2 respuestas

7

Hay dos semánticas distintas que el campo nextUpdate se usa para transmitir:

  1. la fecha en la que debería estar disponible una CRL más nueva, lo que hace que valga la pena una nueva descarga (de manera similar, antes de la fecha dada en el campo nextUpdate , una CRL almacenada en caché debe considerarse como la más nueva);
  2. la fecha después de la cual una CRL dada debe considerarse obsoleta.

Se espera que las CRL se superpongan, de modo que las transiciones sean suaves y el tráfico de red se distribuya a lo largo del día. Por lo general, una CA produciría un CRL nuevo cada hora (de modo que haya disponible información nueva) pero "permitiría" que un CRL determinado sea válido por un día (24 horas). Dado que una CRL puede ser algo grande, descargarla es costosa, por lo tanto, las implementaciones preferirían no hacerlo con demasiada frecuencia si no tiene un uso práctico. Pero como cada CA tiene su propia política, un validador de certificado genérico no puede saber a priori qué tipo de programación usa una CA determinada; debe aprenderlo a través de los datos en los certificados y CRL.

El primer significado es lo que X.509 . Sin embargo, todo el mundo lo usa con el segundo significado. En efecto, las implementaciones de X.509 (por ejemplo, en los navegadores web, cuando validan el certificado de un servidor web) manejan nextUpdate como si fuera una fecha endOfValidity . Últimamente, Microsoft ha definido una nueva extensión llamada nextPublish que asume el primer significado (la extensión se puede ver en el anexo A.1 de este borrador , en un contexto de OCSP). Esta extensión (que parece ser, hasta ahora, privada a Microsoft, no estándar) de alguna manera reconoce que la práctica común se desvía de la teoría con respecto al significado de nextUpdate .

    
respondido por el Thomas Pornin 02.10.2012 - 13:24
fuente
3

Se usa por varias razones:

  • Permite obtener una recuperación más óptima de las CRL desde un servicio basado en extracción, como HTTP, de modo que los tiempos de sondeo se pueden configurar por respuesta.
  • Permite la selección de descargas de CRL basadas en diferencias frente a completas, ya que se supone que una CRL que aparece en o después de la próxima actualización es una actualización regular, mientras que una actualización que aparece antes es la siguiente se supone que la actualización es un parche de seguridad, por lo que la CRL completa se reemplaza en el caché local.
  • Permite recortar las CRL después de que caduque el certificado, sin tener que presionar una CRL nueva. Esto se hace eliminando automáticamente la entrada de CRL en la primera actualización regular (es decir, en la próxima actualización) después de que caduque el certificado.

Consulte la sección 5.1.2.5 de RFC3280 para obtener más información.

    
respondido por el Polynomial 02.10.2012 - 13:07
fuente

Lea otras preguntas en las etiquetas