Làm cách nào để sử dụng các bộ CRL của Chrome (hoặc một số danh sách CRL chính) làm tệp CRL?


12

Tôi đang tìm kiếm một danh sách CRL chính. Thứ gần nhất tôi tìm thấy là CRLSets của dự án Chromium . Tôi đã sử dụng các công cụ crlset để lấy crlset ( crlset fetch > crl-set) và sau đó kết xuất các số sê-ri ( crlset dump crl-set) để tôi thấy một cái gì đó như thế này:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

Tôi muốn có thể chuyển sang openssl hoặc curl (sử dụng openssl) một tệp CRL chứa danh sách chính của tất cả các chuỗi xấu. Ví dụ, thay vì chỉ chuyển qua crl của verisign, tôi muốn mọi thứ được truyền vào. Tôi nghĩ rằng tôi có thể làm điều này với crlset nhưng tôi không nghĩ định dạng này tương thích. Tôi đã thử openssl crl -inform DER -text -in crl-setnhưng nó nói:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

Nếu bất cứ ai có bất kỳ ý tưởng nào về cách thực hiện những gì tôi đang nói hoặc bất kỳ cách sáng tạo nào để làm điều này xin vui lòng cho tôi biết. Cảm ơn


Định dạng của tệp từ crlset không tương thích.
bentek

Câu trả lời:


0

Điều này có thể không thể, ít nhất là ở dạng mà bạn thích.

Hãy xem xét rằng trong CRL của Chrome, có (có thể) nhiều chứng chỉ bị thu hồi từ nhiều CA. Một tệp CRL duy nhất chứa chứng chỉ từ nhiều CA được gọi là "CRL gián tiếp". CRL gián tiếp được hỗ trợ kém; xem ở đâyở đây ; OpenSSL có thể không thể làm điều này.

Ngoài ra, như @bentek đề cập, có vẻ như định dạng CRLsets không tương thích. Cụ thể, định dạng CRLsets không chứa tất cả các trường CRL cần thiết; xem RFC 5280, Mục 5.1 . CRLsets chứa (theo tài liệu của nó) hàm băm SHA-256 của Thông tin khóa công khai chủ đề cho các chứng chỉ phát hành và số sê-ri chứng chỉ cho các chứng chỉ bị thu hồi từ chứng chỉ phát hành đó. Thật không có đủ thông tin để xây dựng lại một CRL trực tiếp ( tức là một tệp CRL cho mỗi CA), thật đáng buồn, nếu chúng ta muốn. Thiếu / thiếu sót lớn nhất, IMHO, là tên(DN) của tổ chức phát hành chứng nhận bị thu hồi. CRLsets cung cấp cho chúng tôi "dấu vân tay" (hàm băm SHA-256 SPKI), nhưng ánh xạ dấu vân tay đó đến DN của chứng chỉ được đề cập, với phạm vi của Internet, sẽ không phải là một nhiệm vụ dễ dàng.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.