O linux verifica o certificado do servidor contra o crl por padrão?

Question

O linux verifica o certificado do servidor contra o crl por padrão?

#1 resposta do (2 votos)

2

Vamos supor que tenho um servidor baseado em Linux executando o apache ou o tomcat com um certificado de servidor da web criado por uma autoridade confiável. O certificado tem ponto de distribuição incorporado do crl. A questão é a seguinte: Sempre que meu servidor se comunica via ssl com outra entidade (servidor, usuário, etc), é suficiente confiar em uma cadeia de credenciais ou confiança válida? (configuração padrão)

Editar: A situação é que minha organização consiste em ambiente Windows e ambiente Linux. A organização utiliza o Microsoft CA para certificados de servidores e clientes que o Windows e o Linux usam. Existe um servidor público que hospeda os arquivos crl. A maior parte do ambiente Linux consiste em servidores apache e servidores db, comunicando via ssl.

A questão é o que aconteceria com o ambiente Linux se o servidor crl ficasse offline. O servidor Linux conseguiria se comunicar verificando a cadeia de confiança ou não verificaria sem o crl disponível? A questão é meio abstrata porque tenho muitos tipos de servidores nesse ambiente, no entanto, gostaria de saber a situação geral em tal cenário.

Segunda edição: Eu gostaria de mencionar que em nosso ambiente Linux, usamos o OpenSSL para criar o CSR e instalar os certificados.

ssl tomcat certificates apache-httpd

por user161736 18.03.2016 / 10:35

1 resposta

Tags ssl tomcat certificates apache-httpd

Enviando o comando 'time' para o arquivo de texto [duplicado] Escreva um programa que leia de um arquivo e imprima a linha com o número da linha

score 2 · Accepted Answer

Como Dmitry comentou, são os clientes (ou para usar a terminologia correta, a terceira parte confiável) que estão preocupados se o certificado foi revogado ou não.

Em um servidor da Web, a terceira parte confiável é o navegador, mas se o servidor solicitar um certificado de cliente, as funções serão invertidas e a parte confiável será o servidor.

No Windows, usando o CAPI, a terceira parte confiável verifica as CRLs somente se estiver configurada para isso. Embora eu acredite que o IE11 no Windows 10 seja verificado por padrão, tenho certeza de que na era do IE9 / Windows 7 você tinha que aplicar uma política de grupo para impor a verificação de CRLs.

As coisas são muito mais complicadas no mundo Unix / Linux. Para começar, não existe uma única API semelhante ao CAPI do Windows. Temos o OpenSSL, GnuTLS, NSS, para citar apenas alguns. As ofertas da Mozilla usam o NSS como o escreveram; O Chrome também usa isso. Não há garantia de que todos os navegadores o façam. O Firefox verifica as CRLs (mas não por muito tempo parece), enquanto O Chrome usa um mecanismo diferente m, embora ambos usem o NSS.

Assim como o CAPI no Windows, a escolha do aplicativo para verificar a CRL é do fornecedor, do administrador (você?) ou de ambos.