crl

CRL contents

Written by  on Juni 30, 2016

Per RFC 5280 specification, a complete CRL contains all unexpired certificates that have been revoked whithin the CA scope. Thus, each CA maintains its own CRL such that a relying party needs to deal with more than one CRL. The various CRL are posted on an accessible site where relying parties can download the certificate status information.

Gültige CRLs in ADCS

Written by  on Juni 25, 2016

Microsoft ADCS speichert alle aktuell gültigen CRLs in der CA eigenen Datenbank.
Dieses Verhalten lässt sich auch ändern, wenn man alte CRLs für Audit-Zwecke braucht.

Anzeigen lassen kann man sich die CRLs mit

certutil -view crl

Interessante Quelle dazu

Openssl CRL Verify

Written by  on Juni 24, 2016

Openssl 1.0.2h hat einen kleinen Bug beim verifizieren von CRLs die etwas größer als ein MB sind. Überschreitet eine CRL diese Größe, funktioniert openssl nicht mehr. Bei Symantec war es diese Woche so weit. Es ist also doch nicht so toll, wenn man immer die letzte Version installiert hat.

Mittlerweile gibt es aber auch schon einen Patch dafür… nur halt noch keine offizielle Version.

Ocsp Responder Caching

Written by  on Februar 5, 2016

Dreht man einen Microsoft OCSP Responder ab, schlägt das Monitoring darauf nicht an. Warum?

Weil die OCSP Responses vom IIS gecached werden und zwar für so lange wie auch die CRL noch gültig wäre!

Response caching. After a request is received and a certificate serial number is extracted, the Online Responder Web proxy will check the local cache for a valid response. The cache is implemented as part of the ISAPI extension and is an in-memory cache. If a client request generates a cache fault, the Online Responder Web proxy will make a request to the Online Responder service for a response. The cache item validity period is set to the CRL validity period from which the response was generated or to the signing key validity, whichever is shorter.

Zusätzlich wird noch für 120 Sekunden gecached.

In addition to the OCSP ISAPI extension caching, the IIS HTTP.SYS library performs caching for 120 seconds. Multiple requests to the Online Responder in that time period will be served with the HTTP.SYS-cached response.

Online Responder Installation, Configuration, and Troubleshooting Guide

Wie wird die Gültigkeit von X.509v3 Zertifikaten überprüft?

Written by  on Oktober 26, 2015

Es gibt zumindest 3 Stellen, an denen Infos zu finden sind, ob ein X.509v3 Zertifikat noch gültig ist.
Verwirrend ist eigentlich nur, dass unter Windows alle Begriffe zwanghaft eingedeutscht wurden.

  • CDP (CRL Distribution Point), auf deutsch “Sperrlisten-Verteilunspunkt”
  • Wird die CRL vom CDP heruntergeladen gibt es unter “Freshest CRL”, auf deutsch “Aktuellste Sperrliste” einen Eintrag für die Delta CRL, d.h. falls es eine gibt
  • AIA (Authority Information Access) auf deutsch “Zugriff auf Stelleninformation” enthält den Pfad zum OCSP (Online Certificate Status Protocol) Responder

Zitat des Tages

Written by  on September 17, 2015

The main point to remember is that a Microsoft CA cannot issue a certificate that exceeds the remaining lifetime on the CA certificate.

Windows Server 2008 PKI and Certificate Security

Was steht in der CRL

Written by  on September 12, 2015

Die CRL enthält die Seriennummern von gesperrten noch gültigen Zertifikaten.

A base CRL contains the serial numbers of all certificates revoked on a CA that are still time valid, as well as the reason for each revocation.

Windows Server 2008 PKI and Certificate Security

Zitat des Tages

Written by  on August 18, 2015

Making things worse ist the fact that revocation is something you never need – until you need it badly.

Bulletproof SSL and TLS, S142