> > Quero que os clientes de correio possam validar os certificados (ou > seja, certificar se os mesmos estão ainda válidos ou se foram revogados) > a partir a consulta ao nsCaRevocationUrl, > > Vi algumas sugestões na internet, mas acredito que não estou fazendo a > coisa certa, porque não está funcionando como o esperado. > > O esperado é que os clientes de correio (thunderbird, evolution e > outlook) pesquisem a lista CRL e dêem algum alerta para o usuário, caso > algum certificado usado tenha sido revogado (não sei se isso funciona > assim...) Se não for para isso, não imagino nenhum outro motivo para > gerar essa CRL...
Isso não depende tanto de você, mas de como o cliente de email faz pra validar um certificado. Eu não sei em outros cliente, mas o thunderbird, você pode configura-lo para buscar a crl ou não. Ele pode declarar um certificado válido so localmente através da verificac'ão das assinatura, o que é uma prática comum, ou se der o timeout da CRL não dizer nada. Normalmente essa parte de CRLs é a coisa mais vulnerável na parte de certificados digitaise PKI, pois se você obrigar a consulta pode ter um ataque de DoS, se você deixar ela opcional também :) (óbvio q com efeitos diferentes). Algumas alternativas para DoS em PKI é ter mais que um CRLDistrbutionPoint e obrigar a consulta. Lembre-se que uma CRL tem um TTL (time to Live) e enquanto não der este tempo, o cliente não tem obrigacão de checar de novo (e sem ser obrigatorio ninguém faz). Uma alternativa é você colocar um OCSP, que é como um DNS para consultar certificados revogados, mas como DNS o TTL é importante. PKI é uma coisa cheia dos detalhes.... Jean --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
