Chrome'un CRL setlerini (veya bazı ana CRL listelerini) CRL dosyası olarak nasıl kullanabilirim?

12

Ana CRL listesi arıyorum. Bulduğum en yakın şey Chromium projesinin CRLSets'i . Ben crlset ( ) almak için crlset araçları kullandım crlset fetch > crl-setve sonra seri numaraları ( crlset dump crl-set) döktü böylece böyle bir şey görüyorum:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

Tüm kötü dizilerin bir ana listesini içeren bir CRL dosyasını openssl veya curl (openssl kullanan) geçmek mümkün olmak istiyorum. Örneğin, sadece verisign'ın crl'sini geçmek yerine, her şeyin geçmesini istiyorum. Bunu crlset ile yapabileceğimi düşündüm ama formatın uyumlu olduğunu düşünmüyorum. Denedim openssl crl -inform DER -text -in crl-setama diyor ki:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

Eğer bahsettiğim şeyin nasıl yapılacağı konusunda herhangi bir fikriniz varsa veya bunu yapmanın yaratıcı bir yolu varsa lütfen bana bildirin. Teşekkürler

openssl  curl  google-chrome  crl 
Ölçek
kaynak
Crlset dosya biçimi uyumlu değil.
bentek

Yanıtlar:

0

Bu mümkün olmayabilir, en azından istediğiniz biçimde.

Chrome'un CRLSets içinde, olduğu (muhtemelen) birden iptal sertifika düşünün birden CA'lardan. Birden çok CA'dan sertifika içeren tek bir CRL dosyasına "dolaylı CRL" denir. Dolaylı CRL'ler desteklenmemektedir; buraya ve buraya bakınız ; OpenSSL bunu yapamayabilir.

Ayrıca, @bentek'in de bahsettiği gibi, CRLsets formatının uyumlu olmadığı anlaşılıyor. Özellikle, CRLsets biçimi gerekli CRL alanlarının tümünü içermez; bkz. RFC 5280, Bölüm 5.1 . CRLsets (belgelerine göre) veren sertifikalar için Konu Ortak Anahtar Bilgisinin SHA-256 karmasını ve bu sertifikayı veren sertifikadan iptal edilmiş sertifikalar için sertifika seri numaralarını içerir. Bir yeniden yeterli bilgi yoktur direkt CRL ( yani CA başına bir CRL dosyası), ne yazık ki, eğer biz istedik. En büyük eksiklik / ihmal, IMHO, adıİptal sertifikasını verenin (DN). CRLsets bize bir "parmak izi" (SHA-256 SPKI karması) verir, ancak Internet'in kapsamı göz önüne alındığında, söz konusu parmak izini söz konusu sertifikanın DN'si ile eşleştirmek kolay bir iş olmaz.

Castaglia
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.