мы можем проверить клиентский сертификат того же самого корневого сервера против нескольких серверов crl (каждый crl генерируется одним и тем же rootca)?

Question

Сертификаты, имеющие 2 точки распространения crl, оба подписаны одним и тем же корневым ок. Какое должно быть поведение crl fetch?

Полученный Crl должен быть конкататирован или перезаписан?

мы можем проверить клиентский сертификат того же самого корневого сервера против нескольких серверов crl (каждый crl генерируется одним и тем же rootca)?

Answer 1

Это зависит от того, являются ли они отдельными точками распространения или просто отдельными URL-адресами в одной точке распространения.

Моя интерпретация RFC 5280 раздел 4.2.1.13 и раздел 5:

• Одно расширение "Точки распространения CRL" может иметь несколько элементов DistributionPoint, указывающих на разные CRL, возможно, с разными ReasonFlags (например, один CRL для замененных сертификатов, другой CRL для скомпрометированных, даже если спецификация рекомендует против этого) - поэтому вам необходимо проверить все DistributionPoints и объединить результаты.

• Но одна точка распространения может иметь несколько имен (URL), указывающих на один и тот же CRL. Они действуют как альтернативы (например, избыточность или несколько протоколов), и вам нужно проверить только один URL-адрес для каждого DistributionPoint.

  Если DistributionPointName содержит несколько значений, каждое имя описывает свой механизм получения одного и того же CRL. Например, один и тот же CRL может быть доступен для извлечения как по LDAP, так и по HTTP.

Так, например, если у вас есть расширение CRL DP с:

CRLDistributionPoints {
    DistributionPoint {
        fullName [ URI "http://foo/foo.crl", URI "ldap://foo/foo.crl" ]
    },
    DistributionPoint {
        fullName [ URI "http://foo/bar.crl", URI "ldap://foo/bar.crl" ]
    }
}

тогда вам нужно будет проверить всего два CRL: любой "foo.crl" + любой "bar.crl".