On Mon, Jan 12, 2015 at 12:21:16AM +0200, Maksym Tiurin wrote: > Расклад такой: > 1. Есть свой CA который находится в доверенном окружении. > 2. Есть subCA, подписанный CA, который выпускает сертификаты для > клиентов. К сожалению, он может быть скомпрометирован. Про его > компрометацию и ее дату мы будем знать.
Что даст знание даты, если ключ скомпроментирован? > Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? > Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались > валидными. Зачем? Зная ключ, можно подписать ЛЮБЫЕ даты, поставленные от фонаря. > openssl verify и certtool --verify считают что если subCA отозван по > любой причине то все выпущенные им сертификаты уже не валидны. Не взирая > на даты выпуска сертификата и отзыва subCA. > Если при отзыве subCA дата в -crl_compromise никак не учитывается и Что такое "-crl_compromise", где Вы его нашли? -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150112065358.ga18...@sie.protva.ru
