CRL फ़ाइल के रूप में Chrome के CRL सेट (या कुछ मास्टर CRL सूची) का उपयोग कैसे करें?


12

मैं एक मास्टर CRL सूची की तलाश कर रहा हूं। मैंने जो सबसे करीबी चीज़ पाई है वह है क्रोमियम प्रोजेक्ट का CRLSets । मैंने crlset ( ) को पाने के लिए crlset-tools का उपयोग किया crlset fetch > crl-setऔर फिर क्रम संख्याओं ( crlset dump crl-set) को डंप किया, इसलिए मुझे कुछ इस तरह दिखाई देता है:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

मैं ओपनसीएल या कर्ल (जो ओपनसेल का उपयोग करता है) को पास करने में सक्षम होना चाहता हूं, जो सभी खराब धारावाहिकों की एक मास्टर सूची वाली सीआरएल फाइल है। उदाहरण के लिए, सिर्फ़ वेरिसाइन के crl में पास होने के बजाय, मैं चाहता हूं कि सब कुछ पास हो जाए। मुझे लगा कि मैं इसे crlset के साथ कर सकता हूं लेकिन मुझे नहीं लगता कि प्रारूप संगत है। मैंने कोशिश की openssl crl -inform DER -text -in crl-setलेकिन यह कहता है:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

अगर किसी के पास इस बारे में कोई विचार है कि मैं किस बारे में बात कर रहा हूं या ऐसा करने का कोई रचनात्मक तरीका है तो कृपया मुझे बताएं। धन्यवाद


Crlset से फ़ाइल का प्रारूप संगत नहीं है।
बेंटेक

जवाबों:


0

यह संभव नहीं हो सकता है, कम से कम उस रूप में जो आप चाहते हैं।

इस बात पर विचार करें कि Chrome के CRLsets में, संभवतः (संभवतः) एकाधिक CA से कई निरस्त प्रमाण पत्र हैं । एक एकल सीआरएल फ़ाइल जिसमें कई सीए से प्रमाण पत्र होता है, एक "अप्रत्यक्ष सीआरएल" के रूप में जाना जाता है। अप्रत्यक्ष CRLs खराब समर्थन कर रहे हैं; यहाँ और यहाँ देखें ; ओपनएसएसएल ऐसा करने में सक्षम नहीं हो सकता है।

इसके अलावा, जैसा @bentek उल्लेख करता है, ऐसा लगता है कि CRLsets प्रारूप संगत नहीं है। विशेष रूप से, CRLsets प्रारूप में सभी आवश्यक CRL फ़ील्ड शामिल नहीं हैं; देख आरएफसी 5280, धारा 5.1 । CRLsets में (इसके दस्तावेज़ीकरण के अनुसार) जारी करने वाले समारोहों के लिए विषय सार्वजनिक कुंजी जानकारी का SHA-256 हैश, और उस जारी करने वाले प्रमाणपत्र से निरस्त प्रमाण पत्र के लिए प्रमाणपत्र क्रम संख्या शामिल हैं। प्रत्यक्ष सीआरएल ( यानी सीए प्रति एक सीआरएल फ़ाइल) को फिर से बनाने के लिए पर्याप्त जानकारी नहीं है , दुख की बात है, अगर हम चाहते थे। सबसे बड़ी कमी / चूक, IMHO, नाम है(डीएन) निरस्त प्रमाण पत्र जारी करने वाले का। CRLsets हमें एक "फ़िंगरप्रिंट" (SHA-256 SPKI हैश) प्रदान करता है, लेकिन उस फ़िंगरप्रिंट को उस प्रमाणपत्र की DN पर मैप करना, जिसे इंटरनेट का दायरा दिया गया है, एक आसान कार्य नहीं होगा।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.