Skip to Content.
Sympa Menu

cacert-de - Re: Zertifikats-Widerruflisten (CRL)

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: Zertifikats-Widerruflisten (CRL)


Chronological Thread 
  • From: Philipp Gühring <pg AT futureware.at>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: Zertifikats-Widerruflisten (CRL)
  • Date: Sun, 31 May 2009 12:12:34 +0200

Hallo,

> Was mache ich falsch? Wie erreiche ich, daß die Updates
> automatisch kommen?

Soweit ich mich erinnern kann, hatte ich dasselbe Verhalten von Mozilla
Produkten, zum ordentlich funktionieren hatte ich CRLs eigentlich noch
nirgends gebracht.
Aber ich schätze mal, dass sie Schwierigkeiten mit den Modem Usern
bekommen würden bei CRL Größen von 20 MB ...

Meiner Meinung nach sind RFC konforme CRLs inzwischen ziemlich tot wegen
der Skalierbarkeit.
Die Delta-CRLs sind vom Handling her zu mühsam, und haben sich daher
nicht durchgesetzt, und liefern auch nur im Delta-Fall eine akzeptable
Skalierbarkeit, beim First-Contact tun sie das leider nicht.
(Und bis jetzt liefert noch kein Browser-Hersteller bei der Browser
Installation auch gleich die zum damaligen Zeitpunkt verfügbaren CRLs mit)
Ich sehe derzeit nur 2 mögliche Varianten im CRL Bereich:
Mini-CRLs, die brauchen 1 Bit pro Zertifikat, die allerdings von einer
Firma glaube ich patentiert wurden, und nicht mit zufälligen
Seriennummern kompatibel.
Block-CRLs, die enthalten die Widerrufs-Einträge von z.B. 1000
aufeinanderfolgenden Zertifikaten, allerdings sind die noch nicht
ausspezifiziert, vom Handling her relativ mühsam, und auch nicht mit
zufälligen Seriennummern kompatibel.

Naja, und dann wären wir bei OCSP.
Das Problem ist insgesamt, dass die Software-Anbieter wesentlich mehr
Interesse an der validierung der Zertifikate als am Widerruf der
Zertifikate haben.
Weder bei X.509 noch bei OpenPGP findet man viel Interesse an
skalierbaren, vertrauenswürdigen und verfügbaren Widerrufs-Infrastrukturen.

Schöne Grüße,
Philipp




Archive powered by MHonArc 2.6.16.

Top of Page