Wie verwende ich die CRL-Sätze von Chrome (oder eine Master-CRL-Liste) als CRL-Datei?

12

Ich suche eine Master-CRL-Liste. Das Nächste, was ich gefunden habe, sind die CRLSets des Chromium-Projekts . Ich habe crlset-tools verwendet , um das crlset ( crlset fetch > crl-set) zu erhalten, und habe dann die Seriennummern ( crlset dump crl-set) ausgegeben, so dass ich ungefähr Folgendes sehe:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

Ich möchte in der Lage sein, eine CRL-Datei mit einer Master-Liste aller fehlerhaften Serien an openssl oder curl (die openssl verwendet) zu übergeben. Ich möchte zum Beispiel nicht nur verisigns crl übergeben, sondern alles übergeben. Ich dachte, ich könnte dies mit crlset tun, glaube aber nicht, dass das Format kompatibel ist. Ich habe es versucht, openssl crl -inform DER -text -in crl-setaber es heißt:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

Wenn jemand eine Idee hat, wie man das macht, worüber ich rede, oder eine kreative Möglichkeit, dies zu tun, lass es mich wissen. Vielen Dank

Prüfung
quelle
Das Format der Datei aus crlset ist nicht kompatibel.
Bentek

Antworten:

0

Dies ist möglicherweise nicht möglich, zumindest nicht in der gewünschten Form.

Beachten Sie, dass in den CRL-Sätzen von Chrome (möglicherweise) mehrere gesperrte Zertifikate von mehreren Zertifizierungsstellen vorhanden sind . Eine einzelne CRL-Datei, die Zertifikate von mehreren Zertifizierungsstellen enthält, wird als "indirekte CRL" bezeichnet. Indirekte CRLs werden schlecht unterstützt. siehe hier und hier ; OpenSSL kann dies möglicherweise nicht.

Wie @bentek erwähnt, sieht es außerdem so aus, als ob das CRLsets-Format nicht kompatibel ist. Insbesondere enthält das CRLsets-Format nicht alle erforderlichen CRL-Felder. siehe RFC 5280, Abschnitt 5.1 . CRLsets enthalten (gemäß ihrer Dokumentation) den SHA-256-Hash der Subject Public Key Info für die ausstellenden Zertifikate und die Zertifikatseriennummern für widerrufene Zertifikate von diesem ausstellenden Zertifikat. Es gibt leider nicht genügend Informationen, um eine direkte CRL ( dh eine CRL-Datei pro CA) zu rekonstruieren , wenn wir wollten. Das größte Manko / Versäumnis, IMHO, ist der Name(DN) des Ausstellers des widerrufenen Zertifikats. Mit CRLsets erhalten wir einen "Fingerabdruck" (den SHA-256 SPKI-Hash). Angesichts des Umfangs des Internets wäre es jedoch keine leichte Aufgabe, diesen Fingerabdruck dem DN des betreffenden Zertifikats zuzuordnen.

Castaglia
quelle