Re: отзыв subCA без перевыпуска сертификатов
Maksym Tiurin writes: > Приветствую! > > Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в > x509 и OpenSSL. > > Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать > все сертификаты подписанные этим subCA? > > Расклад такой: > 1. Есть свой CA который находится в доверенном окружении. > 2. Есть subCA, подписанный CA, который выпускает сертификаты для > клиентов. К сожалению, он может быть скомпрометирован. Про его > компрометацию и ее дату мы будем знать. > > Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? > Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались > валидными. В общем то что мне надо решается другим способом. Мне, по большому счету, нужно одно - авторизировать легальных клиентов и не пускать нелегальных если кто украдет ключ sybCA и нагенерирует левых сертификатов. Для этого отзывать subCA не нужно. Нужно просто вместо CRL проверки использовать OCSP. > openssl verify и certtool --verify считают что если subCA отозван по > любой причине то все выпущенные им сертификаты уже не валидны. Не взирая > на даты выпуска сертификата и отзыва subCA. > Если при отзыве subCA дата в -crl_compromise никак не учитывается и > сертификаты нужно перевыпускать обязательно то есть ли возможность > как-то объяснить серверу что клиентов с сертификатами выпущенными > определенным subCA после даты N пускать нельзя? -- With Best Regards, Maksym Tiurin JID:mrko...@jabber.pibhe.com -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m3siffs4oc@comp.bungarus.info
Re: отзыв subCA без перевыпуска сертификатов
Eugene Berdnikov writes: > On Mon, Jan 12, 2015 at 06:47:56PM +0200, Maksym Tiurin wrote: >> Eugene Berdnikov writes: >> > Что такое "-crl_compromise", где Вы его нашли? >> >> В openssl. > > Где именно, в каком модуле? Мне просто интересно, но при этом > не хватает фантазии придумать где оно может понадобиться... man ca Секция CRL OPTIONS ... -crl_compromise time This sets the revocation reason to keyCompromise and the compromise time to time. time should be in GeneralizedTime format that is MMDDHHMMSSZ. ... Моя фантазия говорит что оно может понадобится в S/MIME. Если подписанное письмо пришло до отзыва сертификата то подписи можно верить. -- With Best Regards, Maksym Tiurin JID:mrko...@jabber.pibhe.com -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m3wq4rsxos@comp.bungarus.info
Re: отзыв subCA без перевыпуска сертификатов
On Mon, Jan 12, 2015 at 06:47:56PM +0200, Maksym Tiurin wrote: > Eugene Berdnikov writes: > > Что такое "-crl_compromise", где Вы его нашли? > > В openssl. Где именно, в каком модуле? Мне просто интересно, но при этом не хватает фантазии придумать где оно может понадобиться... -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150112173241.gc26...@sie.protva.ru
Re: отзыв subCA без перевыпуска сертификатов
Никита Егоров writes: > Я задам вам встречный вопоос. Допустим я заполучил ваш суб сертификат. Что > помешает мне подптсать нужные мне подделки задним числом? Никто не помешает :( Так что при компрометации subCA придется выгружать набор валидных сертификатов и проверять наличие сертификата при подключении клиента. > 12 янв. 2015 г. 1:30 пользователь "Maksym Tiurin" > написал: >> >> Приветствую! >> >> Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в >> x509 и OpenSSL. >> >> Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать >> все сертификаты подписанные этим subCA? >> >> Расклад такой: >> 1. Есть свой CA который находится в доверенном окружении. >> 2. Есть subCA, подписанный CA, который выпускает сертификаты для >> клиентов. К сожалению, он может быть скомпрометирован. Про его >> компрометацию и ее дату мы будем знать. >> >> Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? >> Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались >> валидными. >> >> openssl verify и certtool --verify считают что если subCA отозван по >> любой причине то все выпущенные им сертификаты уже не валидны. Не взирая >> на даты выпуска сертификата и отзыва subCA. >> Если при отзыве subCA дата в -crl_compromise никак не учитывается и >> сертификаты нужно перевыпускать обязательно то есть ли возможность >> как-то объяснить серверу что клиентов с сертификатами выпущенными >> определенным subCA после даты N пускать нельзя? >> -- >> >> With Best Regards, Maksym Tiurin >> JID:mrko...@jabber.pibhe.com >> >> >> -- >> To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org >> Archive: https://lists.debian.org/m3egr1t0v7@comp.bungarus.info >> -- With Best Regards, Maksym Tiurin JID:mrko...@jabber.pibhe.com -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m31tn0t04d@comp.bungarus.info
Re: отзыв subCA без перевыпуска сертификатов
Eugene Berdnikov writes: > On Mon, Jan 12, 2015 at 12:21:16AM +0200, Maksym Tiurin wrote: >> Расклад такой: >> 1. Есть свой CA который находится в доверенном окружении. >> 2. Есть subCA, подписанный CA, который выпускает сертификаты для >> клиентов. К сожалению, он может быть скомпрометирован. Про его >> компрометацию и ее дату мы будем знать. > > Что даст знание даты, если ключ скомпроментирован? > >> Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? >> Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались >> валидными. > > Зачем? Зная ключ, можно подписать ЛЮБЫЕ даты, поставленные от фонаря. Вот это как-то вылетело из головы :( Спасибо. > >> openssl verify и certtool --verify считают что если subCA отозван по >> любой причине то все выпущенные им сертификаты уже не валидны. Не взирая >> на даты выпуска сертификата и отзыва subCA. >> Если при отзыве subCA дата в -crl_compromise никак не учитывается и > > Что такое "-crl_compromise", где Вы его нашли? В openssl. Получается оно имеет смысл только там где дату непросто подделать. Например в подписывании электронной почты. -- With Best Regards, Maksym Tiurin JID:mrko...@jabber.pibhe.com -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m361cct077@comp.bungarus.info
Re: отзыв subCA без перевыпуска сертификатов
Я задам вам встречный вопоос. Допустим я заполучил ваш суб сертификат. Что помешает мне подптсать нужные мне подделки задним числом? 12 янв. 2015 г. 1:30 пользователь "Maksym Tiurin" написал: > > Приветствую! > > Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в > x509 и OpenSSL. > > Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать > все сертификаты подписанные этим subCA? > > Расклад такой: > 1. Есть свой CA который находится в доверенном окружении. > 2. Есть subCA, подписанный CA, который выпускает сертификаты для > клиентов. К сожалению, он может быть скомпрометирован. Про его > компрометацию и ее дату мы будем знать. > > Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? > Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались > валидными. > > openssl verify и certtool --verify считают что если subCA отозван по > любой причине то все выпущенные им сертификаты уже не валидны. Не взирая > на даты выпуска сертификата и отзыва subCA. > Если при отзыве subCA дата в -crl_compromise никак не учитывается и > сертификаты нужно перевыпускать обязательно то есть ли возможность > как-то объяснить серверу что клиентов с сертификатами выпущенными > определенным subCA после даты N пускать нельзя? > -- > > With Best Regards, Maksym Tiurin > JID:mrko...@jabber.pibhe.com > > > -- > To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: https://lists.debian.org/m3egr1t0v7@comp.bungarus.info >
Re: отзыв subCA без перевыпуска сертификатов
On Mon, Jan 12, 2015 at 12:21:16AM +0200, Maksym Tiurin wrote: > Расклад такой: > 1. Есть свой CA который находится в доверенном окружении. > 2. Есть subCA, подписанный CA, который выпускает сертификаты для > клиентов. К сожалению, он может быть скомпрометирован. Про его > компрометацию и ее дату мы будем знать. Что даст знание даты, если ключ скомпроментирован? > Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? > Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались > валидными. Зачем? Зная ключ, можно подписать ЛЮБЫЕ даты, поставленные от фонаря. > openssl verify и certtool --verify считают что если subCA отозван по > любой причине то все выпущенные им сертификаты уже не валидны. Не взирая > на даты выпуска сертификата и отзыва subCA. > Если при отзыве subCA дата в -crl_compromise никак не учитывается и Что такое "-crl_compromise", где Вы его нашли? -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150112065358.ga18...@sie.protva.ru
отзыв subCA без перевыпуска сертификатов
Приветствую! Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в x509 и OpenSSL. Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать все сертификаты подписанные этим subCA? Расклад такой: 1. Есть свой CA который находится в доверенном окружении. 2. Есть subCA, подписанный CA, который выпускает сертификаты для клиентов. К сожалению, он может быть скомпрометирован. Про его компрометацию и ее дату мы будем знать. Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались валидными. openssl verify и certtool --verify считают что если subCA отозван по любой причине то все выпущенные им сертификаты уже не валидны. Не взирая на даты выпуска сертификата и отзыва subCA. Если при отзыве subCA дата в -crl_compromise никак не учитывается и сертификаты нужно перевыпускать обязательно то есть ли возможность как-то объяснить серверу что клиентов с сертификатами выпущенными определенным subCA после даты N пускать нельзя? -- With Best Regards, Maksym Tiurin JID:mrko...@jabber.pibhe.com -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m3egr1t0v7@comp.bungarus.info
