[Eisfair] CRL-Listen (was: Korrektur fuer Sicherheitsupdate OpenSSL-1.0.2h)

[Kay Martinen]

Am 07.05.2016 um 15:09 schrieb Christoph Schulz:
> 
> Marcus Roeckrath schrieb:
> 
>> Die crl.pem für das lokale Zertifikat ist auch nur knapp 1 KB gross.
>>
>> Es geht aber auch um die CRL-Listen für die installierten Zwischen- und
>> Rootzertifikate.
>>
>> Die CRL von cacert hat z. B. rund 10 MB.
> 
> OK, danke für die Info. Ich wusste gar nicht, dass man diese herunterlädt 
> und speichert -- ich dachte, dafür gäbe es heutzutage Protokolle wie OCSP. 
> Aus der Wikipedia zu OCSP:
> 
>    Versendung verschlüsselter E-Mails, um zu überprüfen, ob die Zertifikate,
>    die zur Prüfung der Signatur, zur Identifizierung der
> 
> Das klingt doch danach, als wären lokale CRL-Datenbanken (irgendwie muss man 
> diese Dateien schon so nennen, wenn sie so groß werden) doch überflüssig.

Ich kann da auch nur raten aber... kann es sein das lokale Daten von den
Programmen die es verwenden bevorzugt genutzt werden? Wenn keine
Zertifikats-widerrufslisten lokal vorhanden wären, dann müsste man für
jedes zu prüfende Zertifikat ja eine extra Session zu einem OCSP-Server
(und welchem denn dann?) aufbauen, und dieses wohl wiederum
verschlüsselt um sicher zu gehen das es der richtige ist und die angaben
gültig sind. Dieser Overhead entfiele bei lokal vorhandenen Listen.

Kann es sein das ich da richtig liege?

Kay
-- 
https://www.linuxcounter.net/cert/224140.png