Chrome의 CRL 세트 (또는 일부 마스터 CRL 목록)를 CRL 파일로 사용하는 방법은 무엇입니까?


12

마스터 CRL 목록을 찾고 있습니다. 내가 찾은 가장 가까운 것은 Chromium 프로젝트의 CRLSets 입니다. crlset-tools 를 사용 하여 crlset ( crlset fetch > crl-set)을 가져온 다음 일련 번호 ( crlset dump crl-set) 를 덤프하여 다음과 같이 표시했습니다.

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

모든 잘못된 일련 번호의 마스터 목록이 포함 된 CRL 파일을 openssl 또는 curl (openssl 사용)에 전달할 수 있기를 원합니다. 예를 들어 verisign의 crl을 전달하는 대신 모든 것이 전달되기를 원합니다. crlset을 사용 하여이 작업을 수행 할 수 있다고 생각했지만 형식이 호환되지 않는다고 생각합니다. 나는 시도 openssl crl -inform DER -text -in crl-set했지만 그것은 말한다 :

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

누구든지 내가 말하는 것에 대한 아이디어가 있거나 창의적인 방법으로 알려주세요. 감사


crlset의 파일 형식이 호환되지 않습니다.
bentek

답변:


0

적어도 원하는 형식으로는 불가능할 수 있습니다.

Chrome의 CRL 세트에는 여러 CA의 해지 된 인증서가 여러 개있을 수 있습니다 . 여러 CA의 인증서를 포함하는 단일 CRL 파일을 "간접 CRL"이라고합니다. 간접 CRL은 제대로 지원되지 않습니다. 참조 여기여기 ; OpenSSL이이 작업을 수행하지 못할 수 있습니다.

또한 @bentek이 언급했듯이 CRLsets 형식이 호환되지 않는 것 같습니다. 특히 CRLsets 형식에 필요한 CRL 필드가 모두 포함되어 있지는 않습니다. 참조 RFC 5280, 5.1 절 . CRLsets에는 발급 인증서에 대한 주체 공개 키 정보의 SHA-256 해시와 발급 인증서에서 해지 된 인증서의 인증서 일련 번호가 포함되어 있습니다. 안타깝게도 직접 CRL ( , CA 당 하나의 CRL 파일) 을 재구성 할 정보가 충분하지 않습니다 . 가장 큰 부족 / 누락, IMHO는 것입니다 이름해지 된 인증서 발급자의 (DN) CRLsets는 우리에게 "지문"(SHA-256 SPKI 해시)을 제공하지만 인터넷의 범위를 고려할 때 해당 지문을 해당 인증서의 DN에 매핑하는 것은 쉬운 일이 아닙니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.