Saya mencari daftar master CRL. Hal terdekat yang saya temukan adalah CRLSets proyek Chromium . Saya menggunakan crlset-tools untuk mendapatkan crlset ( crlset fetch > crl-set
) dan kemudian membuang nomor seri ( crlset dump crl-set
) jadi saya melihat sesuatu seperti ini:
f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
03fb3b4d35074e
03fbf94a0e6c39
04097214d6c97c
0442c6b3face55
....
Saya ingin dapat meneruskan ke openssl atau curl (yang menggunakan openssl) file CRL yang berisi daftar master dari semua serial yang buruk. Sebagai contoh daripada hanya meneruskan di cris verisign, saya ingin semuanya lewat. Saya pikir saya bisa melakukan ini dengan crlset tetapi saya tidak berpikir formatnya kompatibel. Saya mencoba openssl crl -inform DER -text -in crl-set
tetapi dikatakan:
unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL
Jika ada yang punya ide tentang bagaimana melakukan apa yang saya bicarakan atau cara kreatif untuk melakukan ini, beri tahu saya. Terima kasih
Jawaban:
Ini mungkin tidak mungkin, setidaknya dalam bentuk yang Anda inginkan.
Pertimbangkan bahwa di CRLset Chrome, ada (kemungkinan) beberapa sertifikat yang dicabut dari beberapa CA. File CRL tunggal yang berisi sertifikat dari banyak CA dikenal sebagai "CRL tidak langsung". CRL tidak langsung tidak didukung dengan baik; lihat di sini dan sini ; OpenSSL mungkin tidak dapat melakukan ini.
Selain itu, seperti @bentek menyebutkan, sepertinya format CRL tidak kompatibel. Secara khusus, format CRL tidak berisi semua bidang CRL yang diperlukan; lihat RFC 5280, Bagian 5.1 . CRL set berisi (sesuai dokumentasinya) hash SHA-256 dari Info Kunci Publik Subjek untuk sertifikat yang mengeluarkan, dan nomor seri sertifikat untuk sertifikat yang dicabut dari sertifikat yang menerbitkan. Tidak ada cukup informasi untuk merekonstruksi CRL langsung ( yaitu satu file CRL per CA), sayangnya, jika kita mau. Kekurangan / kelalaian terbesar, IMHO, adalah namanya(DN) dari penerbit sertifikat yang dicabut. CRLsets memberi kita "sidik jari" (hash SHA-256 SPKI), tetapi memetakan sidik jari itu ke DN dari sertifikat yang bersangkutan, mengingat cakupan Internet, tidak akan menjadi tugas yang mudah.
sumber