Vlákno názorů k článku eIDAS a elektronické podpisy: je vyřešen problém 24 hodin? od Lol Phirae - I.CA svého času vyžadovala 5 Kč per požadavek. ROFL.

I.CA svého času vyžadovala 5 Kč per požadavek.

ROFL.

Jestli jsem to správně pochopil, tak okamžik revokace podle eIDASu je okamžik zveřejnění, nikoliv datum revokace napsaná v CRL listu. OCSP neuvažuji.

Technicky to tedy autority budou zajišťovat tak, že při vydávání nového mimořádného CRL seznamu S z důvodu přidávání nového revokovaného certifikátu, budou pro tento právě revokovaný zapistovat čas revokace jako čas vystavení CRL seznamu S.

Je to tak? Jinak si totiž nedokážu představit, jak by se to technicky ověřovalo, pokud by datum revokace certifikátu uvedené v CRL seznamu nebylo rozhodující.

Situace, kdy by se nemuselo čekat 24h, je tato: Pokud se ověřuje nezneplatnění certifikátu podpisu
a podpis je opatřen časovým razítkem s časem T1
a ověřující strana má k dispozici CRL seznam s časem vydání T2
a T1 + rezerva < T2,
tak lze prohlásit, že certifikát podpisu nebyl revokován. Rezerva by mohla být třeba 5 minut.

Stejné pravidlo se musí aplikovat na certifikát časového razítka a mezilehlých (intermediate) autorit. Ale tady se crl seznamy nevydávají častěji než jednou za 12h - zejména to platí pro intermediate autority. Tudíž se stejně musí čekat 24h.

Asi nám nezbývá nic jiného než OCSP, pokud chceme ověřovat v době do 24h od doby podpisu. Uvidíme, jak to bude s tou povinností zpřístupnit OCSP. I.CA svého času vyžadovala 5 Kč per požadavek.