Jak używać zestawów CRL Chrome (lub niektórych głównych list CRL) jako plików CRL?

12

Szukam głównej listy CRL. Najbliższe, co znalazłem, to CRLSets projektu Chromium . Użyłem crlset-tools, aby uzyskać crlset ( crlset fetch > crl-set), a następnie zrzuciłem numery seryjne ( crlset dump crl-set), więc widzę coś takiego:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

Chcę być w stanie przekazać do openssl lub curl (który używa openssl) plik CRL zawierający główną listę wszystkich złych seriali. Na przykład, zamiast przekazywać crl verisign, chcę, aby wszystko zostało przekazane. Myślałem, że mogę to zrobić za pomocą crlset, ale nie sądzę, aby format był zgodny. Próbowałem, openssl crl -inform DER -text -in crl-setale mówi:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

Jeśli ktoś ma jakieś pomysły na temat tego, o czym mówię lub na kreatywny sposób, prosimy o kontakt. Dzięki

openssl  curl  google-chrome  crl 
test
źródło
Format pliku z crlset jest niezgodny.
bentek

Odpowiedzi:

0

Może to nie być możliwe, przynajmniej w formie, którą chcesz.

Weź pod uwagę, że w zestawach CRL Chrome istnieje (prawdopodobnie) wiele unieważnionych certyfikatów z wielu urzędów certyfikacji. Pojedynczy plik CRL, który zawiera certyfikat wielu urzędów certyfikacji, nazywany jest „pośrednią listą CRL”. Pośrednie listy CRL są słabo obsługiwane; patrz tu i tutaj ; OpenSSL może nie być w stanie tego zrobić.

Ponadto, jak wspomina @bentek, wygląda na to, że format zestawów CRL nie jest kompatybilny. W szczególności format zestawów CRL nie zawiera wszystkich niezbędnych pól CRL; patrz RFC 5280, sekcja 5.1 . Zestawy CRL zawierają (zgodnie z dokumentacją) skrót SHA-256 Tematycznych kluczy publicznych dla wystawiających certyfikatów oraz numery seryjne certyfikatów dla unieważnionych certyfikatów z tego certyfikatu wydającego. Niestety nie ma wystarczającej ilości informacji, aby zrekonstruować bezpośrednią listę CRL ( tj. Jeden plik CRL na urząd certyfikacji). Największym brakiem / pominięciem, IMHO, jest nazwa(DN) emitenta unieważnionego certyfikatu. Zestawy CRL dają nam „odcisk palca” (skrót SHA-256 SPKI), ale mapowanie tego odcisku palca na nazwę wyróżniającą danego certyfikatu, biorąc pod uwagę zasięg Internetu, nie byłoby łatwym zadaniem.

Castaglia
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.