12 votes

test avatar

Comment utiliser les jeux de LCR de Chrome (ou une autre liste principale de LCR) comme fichier LCR ?

Demandé el 19 de Décembre, 2013
Quand la question a-t-elle été
1007 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis à la recherche d'une liste principale de LCR. La chose la plus proche que j'ai trouvée est la liste du projet Chromium. CRLSets . J'ai utilisé crlset-tools pour obtenir le crlset ( crlset fetch > crl-set ) et a ensuite jeté les numéros de série ( crlset dump crl-set ) donc je vois quelque chose comme ça :

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

Je veux pouvoir passer à openssl ou curl (qui utilise openssl) un fichier CRL contenant une liste principale de toutes les mauvaises séries. Par exemple, plutôt que de passer uniquement la CRL de Verisign, je veux que tout soit passé. Je pensais pouvoir faire cela avec crlset mais je ne pense pas que le format soit compatible. J'ai essayé openssl crl -inform DER -text -in crl-set mais ça dit :

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

Si quelqu'un a des idées sur la façon de faire ce dont je parle ou une façon créative de le faire, faites-le moi savoir. Merci

Demandé el 19 de Décembre, 2013 par test

Réponse

Trop de publicités?

1voto

Castaglia avatar
Castaglia Points 3139

Cela peut ne pas être possible, du moins sous la forme que vous souhaitez.

Considérez que dans les LCR de Chrome, il y a (probablement) plusieurs certificats révoqués de multiple CAs. Un seul fichier CRL qui contient les certificats de multiple CAs est connue sous le nom de "CRL indirecte". Les LCR indirectes sont mal supportées ; voir aquí et aquí ; OpenSSL peut ne pas être capable de le faire.

En outre, comme le mentionne @bentek, il semble que le format CRLsets ne soit pas compatible. Plus précisément, le format CRLsets ne contient pas tous les champs CRL nécessaires, voir RFC 5280, section 5.1 . CRLsets contient (selon sa documentation) le hachage SHA-256 des informations de la clé publique du sujet pour les certificats émetteurs, et les numéros de série des certificats révoqués de ce certificat émetteur. Il n'y a pas assez d'informations pour reconstruire une direct LCR ( c'est-à-dire un fichier CRL par CA), malheureusement, si nous le voulions. Le plus grand manque/omission, à mon avis, est la nom (DN) de l'émetteur du certificat révoqué. Les CRLsets nous donnent une "empreinte digitale" (le hachage SHA-256 SPKI), mais la mise en correspondance de cette empreinte digitale avec le DN du cert en question, étant donné l'étendue de l'Internet, ne serait pas une tâche facile.

Répondu el 20 de Février, 2016 par Castaglia (3139 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X