Ich suche nach einer Master-CRL-Liste. Das Nächste, was ich gefunden habe, ist die des Chromium-ProjektsCRLSets. Ich benutzteCrlset-Werkzeugeum das crlset ( crlset fetch > crl-set
) zu erhalten und dann die Seriennummern ( crlset dump crl-set
) zu dumpen, sodass ich ungefähr Folgendes sehe:
f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
03fb3b4d35074e
03fbf94a0e6c39
04097214d6c97c
0442c6b3face55
....
Ich möchte in der Lage sein, eine CRL-Datei mit einer Hauptliste aller fehlerhaften Seriennummern an OpenSSL oder Curl (das OpenSSL verwendet) zu übergeben. Anstatt beispielsweise nur die CRL von VeriSign zu übergeben, möchte ich, dass alles übergeben wird. Ich dachte, ich könnte dies mit CRLset tun, aber ich glaube nicht, dass das Format kompatibel ist. Ich habe es versucht, openssl crl -inform DER -text -in crl-set
aber es heißt:
unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL
Wenn jemand eine Idee hat, wie ich das, wovon ich spreche, umsetzen kann, oder eine kreative Möglichkeit dazu hat, lasst es mich bitte wissen. Danke
Antwort1
Dies ist möglicherweise nicht möglich, zumindest nicht in der gewünschten Form.
Bedenken Sie, dass es in den CRL-Sets von Chrome (möglicherweise) mehrere widerrufene Zertifikate gibt vonmehrereCAs. Eine einzelne CRL-Datei, die Zertifikate vonmehrereCAs werden als „indirekte CRL“ bezeichnet. Indirekte CRLs werden schlecht unterstützt; sieheHierUndHier; OpenSSL ist dazu möglicherweise nicht in der Lage.
Darüber hinaus scheint das CRLsets-Format, wie @bentek erwähnt, nicht kompatibel zu sein. Insbesondere enthält das CRLsets-Format nicht alle erforderlichen CRL-Felder; sieheRFC 5280, Abschnitt 5.1. CRLsets enthält (gemäß seiner Dokumentation) den SHA-256-Hash der Subject Public Key Info für die ausstellenden Zertifikate und die Zertifikatseriennummern für widerrufene Zertifikate dieses ausstellenden Zertifikats. Es gibt nicht genügend Informationen, um einDirekteZertifikatsperrliste (dheine CRL-Datei pro CA), leider, wenn wir wollten. Der größte Mangel/das größte Versäumnis ist meiner Meinung nach dieName(DN) des Ausstellers des widerrufenen Zertifikats. CRLsets gibt uns einen „Fingerabdruck“ (den SHA-256 SPKI-Hash), aber angesichts der Reichweite des Internets wäre es keine leichte Aufgabe, diesen Fingerabdruck dem DN des betreffenden Zertifikats zuzuordnen.