Base CRL, Delta CRL và Revocation Reason Code


Theo RFC 5280 thì khi thu hồi một certificate phải chỉ định một trong 11 lý do sau:

  • unspecified (0): chứng chỉ bị thu hồi nhưng không được cung cấp lý do
  • keyCompromise (1): khóa bí mật liên kết với chứng chỉ bị đánh cắp do có thể máy tính hoặc thẻ thông minh chứa khóa bị mất.
  • cACompromise (2): khóa bí mật của CA bị lộ. Điều này có thể xảy ra khi máy tính chạy dịch vụ Certificate Services hoặc thiết bị vật lý chứa khóa bị đánh cắp. Nếu chứng chỉ của CA bị thu hồi thì mọi chứng chỉ được cấp bởi CA đó cũng được xem là bị thu hồi vì CA đó không còn được coi là tin cậy nữa.
  • affiliationChanged (3): chủ thể của chứng chỉ, thường là người dùng, không còn can hệ gì với tổ chức nữa.
  • superseded (4): chứng chỉ bị thu hồi được thay thế bởi một chứng chỉ mới. Điều này có thể xảy ra do những thay đổi trong các extension của chứng chỉ hoặc tên chủ thể bị thay đổi
  • cessationOfOperation (5): chủ thể không còn cần tới chứng chỉ nữa, chẳng hạn kho một máy chủ web được thay thế với một tên miền mới.
  • certificateHold (6): tạm thời thu hồi lại chứng chỉ. Điều này có thể xảy ra khi một nhân viên tạm vắng mặt trong một thời gian và sau đó tiếp tục quay lại làm việc. Đây là lý do thu hồi duy nhất cho phép một chứng chỉ được sử dụng lại.
  • (giá trị 7 không được sử dụng)
  • removeFromCRL (8): được dùng khi một chứng chỉ được hủy bỏ trạng thái bị thu hồi sau khi bị thu hồi với lý do Certificate Hold. Lý do này chỉ được dùng trong các delta CRL.
  • privilegeWithdrawn (9):
  • aACompromise (10):

Có 2 lý do (9) và (10) là mình vẫn chưa tìm thấy ý nghĩa của nó, ngay cả tìm trong RFC 5280 cũng không thấy đề cập. ai biết mách nước hộ nhé :p

Có 2 loại CRL là:

Base CRL chứa serial number của tất cả các chứng chỉ bị CA thu hồi (tuy thời gian hiệu lực của chứng chỉ vẫn còn) cùng với lý do thu hồi. Base CRL sẽ được ký bởi khóa bí mật riêng biệt của CA (khác với khóa bí mật liên kết với chứng chỉ của CA). Nếu chứng chỉ của CA được thay mới với một cặp khóa mới thì một base CRL mới được tạo ra và chỉ bao gồm các chứng chỉ bị thu hồi được ký bằng khóa bí mật mới của CA.

Delta CRL chỉ chứa các serial number và lý do thu hồi cho các chứng chỉ bị thu hồi kể từ lần phát hành base CRL gần đây nhất. Điều này giúp tiết kiệm thời gian và băng thông khi chỉ cần tải thêm delta CRL có kích thước nhỏ hơn base CRL đã được tải về từ trước. Khi một base CRL mới được phát hành thì các chứng chỉ bị thu hồi trong delta CRL được đưa vào base CRL mới này. Và delta CRL kế tiếp sẽ chỉ chứa các chứng chỉ bị thu hồi kể từ lúc base CRL mới kia được phát hành. Một điều quan trọng ở đây là không phải tất cả ứng dụng, thiết bị đều hỗ trợ delta CRL.

–manthang

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s