Vlákno názorů k článku eIDAS a elektronické podpisy: je vyřešen problém 24 hodin? od Honza - Poslední CRL, ve kterém expirovaný certifikát je uveden,...
-
Honza (neregistrovaný)
Poslední CRL, ve kterém expirovaný certifikát je uveden, je první následující pravidelně vydávaný. Některé autority nemažou expirované vůbec z CRL, ale na to se nedá spolehnout. Ono to zase vede k tomu, že tuším CRL od estonské autority má 14 MB.
Bohužel ani u OCSP si nepomůžete. Tam je zase cut date, spodní hranice, od kdy se OCSP služba nevyjadřuje.
-
Jak dlouho po exspiraci se ještě certifikát na CRL uvádí? Donekonečna jistě ne. Takže pokud chci ověřovat podpisy k starším okamžikům, potřebuji starší CRL. V archivu CA nelze hledat obecně automaticky, takže je lepší mít vlastní archiv ze všech verzí aktuálních CRL z jednoho URL. Co když ale nějaké propásnu? A které z těch archivních CRL je nejsprávnější použít?
Co se děje s certifikátem revokovaným krátce před exspirací?
A lze ho vůbec revokovat krátce po exspiraci (když vím, že byl zneužit ještě před exspirací)?
Co když se CA bude chovat nekonzistentně? Např. v nějakém CRL uvede revokaci nějakého certifikátu a v dalších už ne?
ČLÁNKY DO MAILU