Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Rychlá odpověď - CRL a OCSP cesty v certifikátech a pořadí jejich vyhodnocování
říjen 23
Rychlá odpověď - CRL a OCSP cesty v certifikátech a pořadí jejich vyhodnocování

Příšel dotaz

  1. v certifikátu jsou dvě HTTP cesty na OCSP. Jakto, že to zkouší jenom tu první, i když je to vnitřní cesta, která z venku určitě dostupná není. A proč to proboha nezkusí i tu druhou, veřejně přístupnout?
  2. proč jsou ve stejném rozšíření (AIA - authority information access) navíc k OCSP cestám ještě také cesty na certifikáty autority?

Rychlá odpověď

Ano, přesně tak – od Windows 7 se (docela náhle, předtím to tak nebylo) pro kontrolu CRL i OCSP používá jen první URL. Všechna ostatní URL se jednoduše ignorují. Pokud by tam bylo ale třeba více různých druhů URL (jako je HTTP, LDAP, FTP apod.), tak se z každého druhu použije první.

Takže příklad:

CRL cesty v CDP rozšíření (CRL distribution point):

  • http1
  • http2
  • ldap1
  • ldap2

OCSP cesty v AIA extension:

  • http1
  • http2
  • http3

Použije se to v pořadí: OCSP http1, CRL http1, CRL ldap1. Nic jiného. Pro pořádek, už jsem tu psal o EAP-TLS klientovi, který dokonce vyhodnocuje jen úplně první cestu vůbec a kašle na nějaké typy.

Jinak v AIA jsou od jakživa cesty na CRT/CER certifikáty autorit. To nemá nic společného s CRL ani s OCSP. Prostě tam byly ty cesty vždycky, aby si to klient mohl případně jednoduše stáhnout. Až později přidávali standard pro OCSP, tak se z nějakého (asi kompatibilita) důvodu rozhodli, že ty OCSP cesty nedají do CRL (CDP) rozšíření, ale dají to raději do AIA rozšíření.

Poznámka - ono to ani do CDP dát nešlo, protože v tom nejsou žádné OIDy, které by určovaly typ toho CRL URL a pletlo by se to.

Comments

There are no comments for this post.

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments