Як використовувати набори CRL Chrome (або якийсь основний список CRL) як файл CRL?

12

Я шукаю головний список CRL. Найближче, що я знайшов - це CRLSets проекту Chromium . Я використовував інструменти crlset, щоб отримати crlset ( crlset fetch > crl-set), а потім скидав серійні номери ( crlset dump crl-set), тому я бачу щось подібне:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

Я хочу мати можливість передати openssl або curl (який використовує openssl) файл CRL, що містить головний список усіх поганих серіалів. Наприклад, замість того, щоб просто передавати crl verisign, я хочу, щоб все пройшло. Я думав, що можу це зробити з crlset, але не думаю, що формат сумісний. Я спробував, openssl crl -inform DER -text -in crl-setале це говорить:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

Якщо у когось є ідеї, як зробити те, про що я говорю, або будь-яким творчим способом зробити це, будь ласка, дайте мені знати. Дякую

openssl  curl  google-chrome  crl 
тест
джерело
Формат файлу з crlset не сумісний.
bentek

Відповіді:

0

Це може бути неможливо, принаймні у тому вигляді, який ви хочете.

Враховуйте, що в наборах CRL для Chrome є (можливо) кілька відкликаних сертифікатів від кількох ЦА. Один файл CRL, який містить сертифікат від кількох ЦС, відомий як "непрямий CRL". Непрямі CRL не підтримуються; бачити тут і тут ; OpenSSL може не зробити цього.

Крім того, як згадує @bentek, схоже, формат набору CRL не сумісний. Зокрема, формат наборів CRL не містить усіх необхідних полів CRL; див. RFC 5280, Розділ 5.1 . Набори CRL містять (відповідно до його документації) хеш SHA-256 Інформації про відкритий ключ суб'єкта для сертифікатів, що видає, та серійні номери сертифікатів для відкликаних сертифікатів із цього серту, що видає. На жаль, недостатньо інформації для відновлення прямого CRL ( тобто одного файлу CRL на CA), на жаль, якщо б ми цього хотіли. Найбільший недолік / упущення, ІМХО, - це ім'я(DN) емітента відкликаного сертифіката. Набір CRL дає нам "відбиток пальців" (хеш SHA-256 SPKI), але відображення цього відбитка пальців до DN відповідного сертифіката, враховуючи сферу Інтернет, не було б легким завданням.

Касталья
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.