Comment utiliser les jeux CRL de Chrome (ou une liste CRL principale) en tant que fichier CRL?

12

Je recherche une liste principale de CRL. La chose la plus proche que j'ai trouvée est les CRLSets du projet Chromium . J'ai utilisé crlset-tools pour obtenir le crlset ( crlset fetch > crl-set), puis crlset dump crl-setj'ai vidé les numéros de série ( ) donc je vois quelque chose comme ceci:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

Je veux pouvoir passer à openssl ou curl (qui utilise openssl) un fichier CRL contenant une liste principale de tous les mauvais feuilletons. Par exemple, plutôt que de simplement passer dans le crl de verisign, je veux que tout soit passé. Je pensais pouvoir le faire avec crlset mais je ne pense pas que le format soit compatible. J'ai essayé openssl crl -inform DER -text -in crl-setmais ça dit:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

Si quelqu'un a des idées sur la façon de faire ce dont je parle ou sur une manière créative de le faire, faites-le moi savoir. Merci

tester
la source
Le format du fichier de crlset n'est pas compatible.
bentek

Réponses:

0

Cela peut ne pas être possible, du moins sous la forme que vous souhaitez.

Sachez que dans les CRLsets de Chrome, il existe (éventuellement) plusieurs certificats révoqués provenant de plusieurs autorités de certification. Un fichier CRL unique qui contient un certificat provenant de plusieurs autorités de certification est appelé «CRL indirecte». Les listes de révocation de certificats indirectes sont mal prises en charge; voir ici et ici ; OpenSSL peut ne pas être en mesure de le faire.

De plus, comme @bentek le mentionne, il semble que le format CRLsets ne soit pas compatible. Plus précisément, le format CRLsets ne contient pas tous les champs CRL nécessaires; voir RFC 5280, section 5.1 . CRLsets contient (selon sa documentation) le hachage SHA-256 des informations de clé publique sujet pour les certificats émetteurs et les numéros de série des certificats pour les certificats révoqués de ce certificat émetteur. Il n'y a pas assez d'informations pour reconstruire une CRL directe ( c'est-à-dire un fichier CRL par CA), malheureusement, si nous le voulions. Le plus grand manque / omission, à mon humble avis, est le nom(DN) de l'émetteur du certificat révoqué. CRLsets nous donne une «empreinte digitale» (le hachage SHA-256 SPKI), mais le mappage de cette empreinte digitale au DN du certificat en question, étant donné la portée d'Internet, ne serait pas une tâche facile.

Castaglia
la source