Назад | Перейти на главную страницу

Соображения по поводу отзыва сертификата для периодически изолированных одноранговых сетей

Я пытаюсь выбрать стратегию отзыва сертификата для разрабатываемого мной решения (которое будет использовать Dogtag PKI по запросу клиента). Очевидный выбор - использовать CRL или OCSP. Я пытаюсь понять практические последствия обоих и выбрать тот, который поддерживает это конкретное решение.

Я думаю, что основная проблема здесь заключается в том, что, хотя клиенты будут время от времени иметь сетевой доступ к инфраструктуре PKI, им также необходимо будет работать в изолированной локальной сети. В этом случае два клиента должны иметь возможность аутентифицировать друг друга напрямую (включая проверку отзыва сертификата центральным органом) без доступа, например, к ответчик OCSP.

Подходит ли одно из этих решений (CRL / OCSP) для кэширования и автономной работы?
Правильно ли характеризовать CRL как черный список, а OCSP как белый список (который можно кэшировать локально, возможно, по частям для известных партнеров)?
Я задаю неправильный вопрос? (Возможно, другое подходящее решение или другой подход к проблеме?)

OCSP - это просто другое средство достижения той же цели: проверка того, отозван ли определенный сертификат. Оба могут считаться черным списком; с помощью CRL клиент берет весь список и проверяет наличие отдельного сертификата, а с OCSP он отправляет запрос на получение статуса отдельного сертификата без необходимости загрузки полного списка.

OSCP, как следует из названия, является онлайновым протоколом; это не подходит для кеширования. Использование CRL было бы способом перейти в автономный режим; поскольку они могут увеличиваться, а проверки требуются довольно часто, большинство операционных систем будут хранить кеш CRL, которые они использовали недавно (конечно, в зависимости от используемого приложения), что в значительной степени соответствовало бы счетам за то, что вы ' повторно ищем. Кроме того, используйте любые средства, необходимые для передачи этого CRL-файла клиентам, и пусть корневой сертификат содержит что-то для CDP, к которому они могут получить доступ локально.

Однако есть определенные минусы. Очевидно, что кэширование несет в себе риск разрешения отозванного сертификата с устаревшим CRL или, с другой стороны, неправильное время истечения CRL, и ваш кешированный CRL будет отброшен до повторного подключения к сети. Кроме того, убедитесь, что корневой сертификат не содержит дельта-списков отзыва сертификатов; это значительно сократит эффективное время жизни кэширования, поскольку для каждой проверки потребуется текущая копия кратковременной дельты.

Срок службы CRL будет самым важным соображением при проектировании; вам необходимо сбалансировать потребность клиентов в постоянном наличии рабочих копий, с допустимой задержкой, чтобы отозванный сертификат больше не пользовался доверием.