Как использовать наборы CRL Chrome (или некоторый основной список CRL) в качестве файла CRL?

12

Я ищу основной список CRL. Самая близкая вещь, которую я нашел, - это CRLSets проекта Chromium . Я использовал crlset-tools, чтобы получить crlset ( crlset fetch > crl-set), а затем сбросил серийные номера ( crlset dump crl-set), так что я вижу что-то вроде этого:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

Я хочу иметь возможность передать openssl или curl (который использует openssl) CRL-файл, содержащий основной список всех плохих серийных номеров. Например, вместо того, чтобы просто передать crl verisign, я хочу, чтобы все прошло. Я думал, что смогу сделать это с помощью crlset, но не думаю, что формат совместим. Я пытался, openssl crl -inform DER -text -in crl-setно он говорит:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

Если у кого-то есть идеи, как сделать то, о чем я говорю, или какой-либо творческий способ сделать это, пожалуйста, дайте мне знать. Благодарность

тестовое задание
источник
Формат файла из crlset не совместим.
Бентек

Ответы:

0

Это может быть невозможно, по крайней мере, в той форме, которая вам нравится.

Учтите, что в наборах CRL Chrome есть (возможно) несколько отозванных сертификатов от нескольких ЦС. Один файл CRL, который содержит сертификат от нескольких CA, известен как «косвенный CRL». Косвенные CRL плохо поддерживаются; смотрите здесь и здесь ; OpenSSL может быть не в состоянии это сделать.

Кроме того, как упоминает @bentek, похоже, что формат CRLsets несовместим. В частности, формат CRLsets не содержит все необходимые поля CRL; см. RFC 5280, раздел 5.1 . CRLsets содержит (в соответствии с документацией) хэш SHA-256 Subject Public Key Info для выпускающих сертификатов и серийные номера сертификатов для отозванных сертификатов из этого выпускающего сертификата. К сожалению, недостаточно информации для восстановления прямого CRL ( то есть одного файла CRL на CA), к сожалению, если бы мы захотели. Самым большим недостатком / упущением, ИМХО, является название(DN) эмитента отозванного сертификата. CRLsets дает нам «отпечаток» (хэш SHA-256 SPKI), но сопоставление этого отпечатка с DN рассматриваемого сертификата, учитывая объем Интернета, не будет легкой задачей.

Castaglia
источник