CRL, что и как?

Question

[xaker1]

Привет, хабр!


В связи с данной темой возник вопрос.


Откуда браузер должен взять список отозванных сертификатов? Понятно, что CRL обновляется и выкладывается в открытый доступ центрами сертификации (например, verisign), но как браузер (или не браузер?) узнает URL данного списка.


URL хранится в корневом сертификате? Браузер отдельно его запоминает?

Answer 1

[lesha_penguin]

В каждом добавляемом корневом сертификате есть (точнее предусмотрена) возможность указать адрес urlа по которому центр сертификации публикует список сертификатов отозванных данным центром.
Что делать с этим списком отозванных сертификатов каждый клиент дальше решает сам.

Comments

[lesha_penguin]

Вот например, рассмотрим простой пример. Вы решили добавить корневой сертификат Webmoney.
Если вы скачаете файличек самого корневого сертификата (он сам бинарный)
www.wmcert.com/Cert/cert.wmtransfer.com_WebMoney%20Transfer%20Root%20CA.crt

То вы там черным по белому увидите строку www.wmcert.com/CertEnroll/WebMoney%20Transfer%20Root%20Authority.crl. что означает эта строка? а ничего. по сути это поле информационно, оно просто указывает место где вы можете проверить подозрительный сертификат (и оно отдано на откуп приложению, его кстати, может вообще не быть, например, особого смысла нет делать такое поле в закрытых сетях не подключенных к интернет).

С прикладной точки зрения, по-идее, когда вы например устанавливаете соединение с каким-либо сервисом webmoney который вам предьявляет сертификат подписанный этим корневым, вы по-идее можете усомниться в правильности того, чего вам пытаются всучить (установка SSL-связи она как бы подразумевает, что обе стороны проверяют сертификаты друг друга), и выяснить, нет ли того что вам предьявили в списке отозванных сертификатов и уже приложение само будет решать является ли данный сервер авторизованным участником системы webmoney или нет.

Но, обратите внимание я везде сказал слово может, а не должен.