Badania podstawowe nad certyfikatami i OCSP   Leave a comment

OCSP jest alternatywą do CRL (b. dużo informacji o nich jest na wiki anlgojęzycznej). Obie te metody sprawdzenia ważności certyfikatów są dobre z tym, że CRL pobiera listę z serwera (czasami może być ona ogromna, chociaż można pobrać ją przyrostowo), OCSP odpytywuje ją on-line (pytanie-odpowiedź). Co wybrać? Teoretycznie OCSP zapewnia najwyższy poziom aktualności informacji o stanie certyfikatów odwołanych, ale są problemy z implementacją protokołu OCSP (RFC 2560 – PKIX OCSP) ponieważ jest on zbyt liberalny: zawiera część obligatoryjną i opcjonalną; w przypadku konkretnego serwera OCSP tak naprawdę nie wiadomo jak wygląda jego implementacja. Do tego dochodzi brak wiedzy jakie są rzeczywiste adresy tych serwerów dla konkretnych dostawców certyfikatów. Czasami dostawcy zakrywają się zapewnieniem natychmiastowej aktualizacji CRL w przypadku wpisania na nią unieważnionego certyfikatu. Z tego co ustaliłem do są dostępne dla:

  1. Certum – rzetelna firma, ma swój serwer OCSP -  http://ocsp.certum.pl. Niestety nie udało mi się to sprawdzić. Z tego co jest na stronie CERTUM na ścieżce Strona główna > Wiedza > CERTUM PCC: regulamin usług certyfikacyjnych w dokumencie pt. Regulamin usług certyfikacyjnych wersja 1.7 (330 kB) wynika (cytat) i nie ma tu mowy o OCSP!:

    Informacja o unieważnionym certyfikacie umieszczana jest niezwłocznie na liście CRL. Wszystkie
    listy CRL publikowane są nie rzadziej niż co 24 godziny i automatycznie w repozytorium Urzędu
    Certyfikacji.

  1. KIR – brak danych, w opublikowanej polityce certyfikacyjnej KIR bazuje na CRL który jest publikowany NATYCHMIAST po zgłoszeniu unieważnienia certyfikatu. W bloku Informacje->Dokumenty i Umowy (http://www.elektronicznypodpis.pl/informacje/dokumenty-i-umowy) można znaleźć ich politykę “Polityki certyfikacji i Regulaminy” a tam wpis “Polityka certyfikacji KIR S.A. dla certyfikatów kwalifikowanych” . A tam można znaleźć:

      8.5.
      Unieważnienie certyfikatu
      W przypadku pozytywnej weryfikacji wniosku o unieważnienie/ zawieszenie certyfikatu KIR S.A. unieważnia/ zawiesza certyfikat. Unieważnienie/ zawieszenie certyfikatu następuje w momencie wpisania certyfikatu na listę unieważnionych i zawieszonych certyfikatów. Informacja o unieważnieniu/ zawieszeniu certyfikatu jest umieszczana na liście unieważnionych certyfikatów – CRL. KIR S.A. zawiadamia subskrybenta i ewentualnie inną osobę o unieważnieniu/ zawieszeniu certyfikatu

      8.7.
      Listy zawieszonych i unieważnionych certyfikatów
      Po zawieszeniu lub unieważnieniu certyfikatu, KIR S.A. generuje listę zawieszonych i unieważnionych certyfikatów. Lista ta zawiera:
      − wskazanie czasu jej powstania;
      − wskazanie czasu publikacji następnej listy zawieszonych i unieważnionych certyfikatów;
      − numer seryjny zawieszonego/ unieważnionego certyfikatu;
      − wskazanie czasu zawieszenia/ unieważnienia certyfikatu;
      − przyczynę zawieszenia/ unieważnienia certyfikatu.
      Po cofnięciu uprzedniego zawieszenia certyfikatu, informacja o takim certyfikacie jest usuwana z listy zawieszonych i unieważnionych certyfikatów.
      Z listy zawieszonych i unieważnionych certyfikatów mogą nie zostać usunięte informacje o certyfikatach unieważnionych, których okres ważności nadany przez KIR S.A. upłynął.
      Szczegółowy opis konstrukcji listy zawieszonych i unieważnionych certyfikatów określa punkt 10 niniejszej Polityki.

      8.8.
      Publikacje i repozytorium
      Informacje dotyczące usług certyfikacyjnych świadczonych przez KIR S.A., w informacje nt sposobu zawierania Umów, obsługi zamówień i odnowień certyfikatów są udostępniane wszystkim zainteresowanym na stronie internetowej KIR S.A. http://www.kir.com.pl lub w placówkach KIR S.A.
      Listy zawieszonych i unieważnionych certyfikatów są generowane przez KIR S.A. nie rzadziej niż co 12 godzin lub po zawieszeniu albo unieważnieniu certyfikatu. Aktualizacja list odbywa się nie później niż w ciągu 1 godziny od zawieszenia lub unieważnienia certyfikatu.
      Aktualne listy CRL generowane przez KIR S.A. są bezpłatnie udostępniane wszystkim zainteresowanym na stronie internetowej KIR S.A. http://www.kir.com.pl
      Wszystkie wydane przez KIR S.A. certyfikaty przechowywane są w KIR S.A. co najmniej przez okres wymagany przez ustawę.

    1. Sigillum – brak danych, podobnie jak w KIR. Ich regulamin jest na ścieżce – Strona główna > Repozytorium > Polityki > Polityki obowiązujące pod adresem http://sigillum.pl/polityki_obowiązujące.html w pliku Polityka PCCE dla Certyfikatów Kwalifikowanych ważna od 15.05.2012 r.
    2. CenCert – kolejna rzetelna firma, ich serwer jest pod adresem http://ocsp.cencert.pl (wg. http://www.cencert.pl/Us%C5%82uga%20OCSP/). Polityka certyfikacji dla certyfikatów kwalifikowanych jest na ich stronie w repozytorium – http://www.cencert.pl/site_media/upload/pdf/Polityka_certyfikatow_kwalifikowanych_w_2.02.pdf. Ciekawy wyjątek ze strony http://www.cencert.pl/Lista%20CRL/ na temat szybkości publikowania list CRL: 

      Lista unieważnionych i zawieszonych certyfikatów (lista CRL) wystawionych przez Podmiot Kwalifikowanych Usług Certyfikacyjnych Enigma SOI Sp z o.o. jest publikowana pod adresem http://www.cencert.pl/crl/enigma_ostatni_kwal.crl

      Planowa lista CRL jest publikowana co około 30 minut. W przypadku prac technicznych może być publikowana rzadziej, jednak co najmniej raz dziennie.

      W przypadku zmian statusu certyfikatu, lista CRL jest publikowana zasadniczo w ciągu kilku minut od zaistnienia zdarzenia, a w przypadku ewentualnego zaistnienia jakichś przeszkód, nie później niż w ciągu 1 godziny od momentu zdarzenia.

    3. Commodo – http://ocsp.usertrust.com
    4. Dostęp do standardu RFC 2560 – http://www.ietf.org/rfc/rfc2560.txt
    5. Przewodnik po PKI i kryptografii – http://www.cs.auckland.ac.nz/~pgut001/pubs/x509guide.txt – klasyka wg. Peter Gutmann

    Posted 26 Listopad 2012 by marekwmsdn in CLR, Kryptografia, OCSP, Smart Cards

    Skomentuj

    Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

    Logo WordPress.com

    Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

    Zdjęcie z Twittera

    Komentujesz korzystając z konta Twitter. Log Out / Zmień )

    Facebook photo

    Komentujesz korzystając z konta Facebook. Log Out / Zmień )

    Google+ photo

    Komentujesz korzystając z konta Google+. Log Out / Zmień )

    Connecting to %s

    %d bloggers like this: