В настоящее время я настраиваю PKI для своей компании, и, хотя я придумал хороший макет и спланировал общую политику выдачи сертификатов, я все еще озадачен тем, какую роль играет CRL.
Посмотрев на другие сертификаты корневого ЦС, установленные в браузерах, мы пришли к выводу, что можем обойтись без списка отзыва для нашего корневого ЦС.
Мы также основывали это на том факте, что наша цепочка сертификатов будет установлена в строго защищенных брандмауэром и закрытых средах на сайтах наших клиентов, что означает, что получение CRL с нашего сайта HTTP не будет работать.
Не включать CRL в корень - плохая идея? И будут ли приложения (IIS, IE, Firefox) вести себя плохо или потребуется дополнительная настройка для правильной работы?
Я знаю, что, не имея CRL, я теряю возможность отозвать сертификат, но в настоящее время это не проблема. Вопрос касается корня, подчиненный CA будет или может иметь CRL, в зависимости от класса (класс 1 = производство, класс 3 = тестирование и т. Д.) В соответствии с нашим CP.
Если вы готовы полностью отказаться от корневого ЦС в случае, если он использовался для выдачи неверного сертификата или выданный сертификат был скомпрометирован, тогда это не должно быть проблемой.
Если в сертификате не указаны точки распространения CRL, тогда (насколько мне известно) браузеры и другие средства проверки сертификатов не должны беспокоиться о проверке сертификата.
Даже если указан недостижимый CDP, браузеры очень ... слабо разрешают сертификат в любом случае - вот почему недавние взломы центра сертификации побудили поставщиков ОС и браузеров выпустить исправления, заносящие сертификаты в черный список, вместо того, чтобы просто доверять браузерам проверять список отзыва сертификатов. должным образом.