pki
Zitat des Tages
Plan on time to push new CA certificates out into your infrastructure and user base. Do not attempt to generate a new CA, and plan to stat using it to issue end-entity certificates on the same weekend!
Certificate Trust
It is a bad practice to blindly trust an unknown certificate issued from an unknown CA.
Ach wie gut, dass mit dem Betriebssystem nicht Zertifikate hunderte unbekannter CAs mitgeliefert werden.
Log filtering
Sensitive information should be filtered at the source during log generation.
Schützenswerte Daten, sollten erst gar nicht auf eventuell schlechter geschützte Systeme kommen.
CRL contents
Per RFC 5280 specification, a complete CRL contains all unexpired certificates that have been revoked whithin the CA scope. Thus, each CA maintains its own CRL such that a relying party needs to deal with more than one CRL. The various CRL are posted on an accessible site where relying parties can download the certificate status information.
Zitat des Tages
Certificate suspension should not be supported due to the complexities and side effects of managing authorized individual possibly from different organizations. Many CA software products do not support certificate suspension.
Zitat des Tages
Certificate modification changes the key lifecycle its original operational period, which is a risky practice; certificates should not be modified; they should always be rekeyed.
Zitat des Tages
Certificate renewal extends the key lifecycle beyond its original operational period, which is a risky practice; certificates should not be renewed; they should always be rekeyed.
Gültige CRLs in ADCS
Microsoft ADCS speichert alle aktuell gültigen CRLs in der CA eigenen Datenbank.
Dieses Verhalten lässt sich auch ändern, wenn man alte CRLs für Audit-Zwecke braucht.
Anzeigen lassen kann man sich die CRLs mit
certutil -view crl
Openssl CRL Verify
Openssl 1.0.2h hat einen kleinen Bug beim verifizieren von CRLs die etwas größer als ein MB sind. Überschreitet eine CRL diese Größe, funktioniert openssl nicht mehr. Bei Symantec war es diese Woche so weit. Es ist also doch nicht so toll, wenn man immer die letzte Version installiert hat.
Mittlerweile gibt es aber auch schon einen Patch dafür… nur halt noch keine offizielle Version.
Über selbst signierte Zertifikate
Relying on self-signed certificates is a bad practice since they do not authenticate the subject of the certificate and because the contents are unreliable.
