Handtekening over CRL valideren

Een Certificate Revocation List (CRL) is een lijst met vroegtijdig ingetrokken digitale (PKI)certificaten. Deze CRL wordt beschikbaar gesteld door de uitgever van de certificaten. Teneinde ervoor te zorgen dat er niet wordt gerommeld met de inhoud (waarborgen integriteit) en de uitgever van de CRL wordt vertrouwd, wordt deze CRL elektronisch ondertekend door de uitgever.

Nu vermoed ik dat Windows (elke versie) bij een https-sessie deze elektronische handtekening niet valideert. Ofschoon ik de CRL lokaal heb geïnstalleerd, wordt de elektronische handtekening mijns inziens niet gevalideerd wanneer de CRL wordt geraadpleegd. Dit vermoeden is ontstaan nadat ik de uitgever van de CRL heb verwijderd uit mijn locale trustlist. Vervolgens heb ik d CRL gedownload en eïnstalleerd. Nergens (vb. mmc) wordt aangegeven dat er misschien iets mis is met de CRL. Aangezien ik de uitgever niet in mijn trustlist heb staan, had ik eigenlijk verwacht dat er een melding hieromtrent zou komen (vb. Uitgever CRl wordt niet vetrouwd). Dit was niet het geval.

Weet iemand misschien of mijn aanname klopt (handtekening op CRL wordt niet door Windows gevalideerd wanneer contact wordt gemaakt met een SSL-website).

[ Voor 9% gewijzigd door Verwijderd op 18-05-2004 22:42 ]

Opgelost.

Na diverse andere testen (zoals eigenhandig aanpassen CRL) blijkt toch dat IE dit detecteert. Ofschoon hij wel een verkeerde melding geeft, blijkt wel dat hij tenminste detecteert dat er iets mis is en dat er niet mag worden vertrouwd op de inhoud van de CRL.

Jammer is wel dat dit (mijns inziens) niet kan worden gedetecteerd wanneer ik in MMC de CRL bekijk. Op deze wijze kan je dus niet handmatig controleren of een CRL nog betrouwbaar is. Dit is echter wel het geval bij het controleren van gewone (eindgebruiker)certificaten. Hier geeft MMC namelijk wel direct aan dat de certificaten niet deugen...maar goed het is niet anders.

[ Voor 28% gewijzigd door Verwijderd op 19-05-2004 17:35 ]