Я задам вам встречный вопоос. Допустим я заполучил ваш суб сертификат. Что помешает мне подптсать нужные мне подделки задним числом?
12 янв. 2015 г. 1:30 пользователь "Maksym Tiurin" <mrko...@bungarus.info> написал: > > Приветствую! > > Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в > x509 и OpenSSL. > > Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать > все сертификаты подписанные этим subCA? > > Расклад такой: > 1. Есть свой CA который находится в доверенном окружении. > 2. Есть subCA, подписанный CA, который выпускает сертификаты для > клиентов. К сожалению, он может быть скомпрометирован. Про его > компрометацию и ее дату мы будем знать. > > Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? > Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались > валидными. > > openssl verify и certtool --verify считают что если subCA отозван по > любой причине то все выпущенные им сертификаты уже не валидны. Не взирая > на даты выпуска сертификата и отзыва subCA. > Если при отзыве subCA дата в -crl_compromise никак не учитывается и > сертификаты нужно перевыпускать обязательно то есть ли возможность > как-то объяснить серверу что клиентов с сертификатами выпущенными > определенным subCA после даты N пускать нельзя? > -- > > With Best Regards, Maksym Tiurin > JID: mrko...@jabber.pibhe.com > > > -- > To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: https://lists.debian.org/m3egr1t0v7....@comp.bungarus.info >