Implicações da CA raiz sem CRL

2

Atualmente, estou configurando uma PKI para minha empresa e, embora tenha elaborado um bom layout e planejado a política geral de emissão de certificados, ainda estou intrigado com o papel desempenhado pela CRL.

Ao analisar outros certificados de CA raiz instalados em navegadores, concluímos que poderíamos ficar sem uma lista de revogação para nossa CA raiz.

Também baseamos no fato de que nossa cadeia de certificados será instalada em ambientes estritamente protegidos por firewall e fechados em nossos sites de clientes, o que significa que a recuperação da CRL de nosso site HTTP não funcionará.

É uma má ideia não incluir uma CRL na raiz? E os aplicativos (IIS, IE, Firefox) se comportariam mal ou precisariam de configuração adicional para funcionar corretamente?

Estou ciente de que, por não ter CRLs, perco a capacidade de revogar um certificado, mas isso não é um problema no momento. A questão diz respeito à raiz, a AC subordinada teria ou poderia ter uma CRL, dependendo da classe (Classe 1 = produção, Classe 3 = teste etc.) de acordo com o nosso CP.

    
por cvaldemar 10.11.2011 / 10:28

1 resposta

2

Se você estiver disposto a eliminar completamente a autoridade de certificação raiz, o evento usado para emitir um certificado incorreto ou um certificado emitido será comprometido, então não haverá problemas.

Se o certificado não especificar os pontos de distribuição da CRL, então (tanto quanto eu saiba) os navegadores e outros validadores de certificados não devem ter nenhum escrúpulo em validar o certificado.

Mesmo que um CDP inacessível seja especificado, os navegadores são muito ... negligentes quanto a permitir o certificado de qualquer maneira - é por isso que os comprometimentos recentes da autoridade de certificação fizeram com que os fornecedores de SOs e navegadores emitissem patches na lista negra de certificados, em vez de confiar apenas em verifique a CRL corretamente.

    
por 10.11.2011 / 18:52