Eu tenho um Puppetserver com uma CRL que atualmente tem 8,5 MB. Usando openssl(1)
e crl(1)
, posso ver que a CRL consiste em ~ 180.000 revogações separadas, mas também posso ver que existem apenas ~ 20.000 números de série exclusivos; alguns números de série foram revogados até 500 vezes.
Embora existam erros evidentes em abundância que devem ser resolvidos, fico com esta CRL superdimensionada e um bug em particular é que o acesso à CRL não está bloqueado de forma alguma. Portanto, existe uma condição de corrida entre um processo de atualização CRL e outra lendo. Só posso esperar que reduzir o tamanho da CRL para apenas conter cada número de série possa minimizar o tempo gasto escrevendo a CRL e a chance de um conflito.
É possível editar uma CRL?
Para referência, consulte: