Come utilizzare i set CRL di Chrome (o alcuni elenchi CRL principali) come file CRL?


12

Sto cercando un elenco CRL principale. La cosa più vicina che ho trovato sono i set CRL del progetto Chromium . Ho usato crlset-tools per ottenere crlset ( crlset fetch > crl-set) e quindi crlset dump crl-setho scaricato i numeri di serie ( ) quindi vedo qualcosa del genere:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

Voglio essere in grado di passare a openssl o curl (che utilizza openssl) un file CRL contenente un elenco principale di tutti i serial non validi. Ad esempio, piuttosto che passare semplicemente nel crl di verisign, voglio che tutto passi. Pensavo di poterlo fare con crlset ma non credo che il formato sia compatibile. Ho provato openssl crl -inform DER -text -in crl-setma dice:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

Se qualcuno ha qualche idea su come fare ciò di cui sto parlando o un modo creativo per farlo, per favore fatemelo sapere. Grazie


Il formato del file da crlset non è compatibile.
bentek,

Risposte:


0

Questo potrebbe non essere possibile, almeno nella forma che desideri.

Considera che nei set CRL di Chrome, ci sono (possibilmente) più certificati revocati da più CA. Un singolo file CRL che contiene il certificato di più CA è noto come "CRL indiretto". I CRL indiretti sono scarsamente supportati; vedi qui e qui ; OpenSSL potrebbe non essere in grado di farlo.

Inoltre, come menziona @bentek, sembra che il formato CRLsets non sia compatibile. In particolare, il formato CRLsets non contiene tutti i campi CRL necessari; vedere RFC 5280, Sezione 5.1 . CRLsets contiene (secondo la sua documentazione) l'hash SHA-256 delle informazioni sulla chiave pubblica del soggetto per i certificati di emissione e i numeri di serie del certificato per i certificati revocati da quel certificato di emissione. Non ci sono abbastanza informazioni per ricostruire un CRL diretto ( cioè un file CRL per CA), purtroppo, se volessimo. La più grande mancanza / omissione, IMHO, è il nome(DN) dell'emittente del certificato revocato. CRLsets ci fornisce una "impronta digitale" (l'hash SHA-256 SPKI), ma mappare quell'impronta digitale sul DN del certificato in questione, dato lo scopo di Internet, non sarebbe un compito facile.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.