ssl, CRL

[Andrey Y. Ostanovsky]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Dmitry Morozovsky wrote:
> On Fri, 20 Apr 2007, Igor Sysoev wrote:
>
> IS> > IS> > Кажется, все же не только сериал выданного сертификата,
> но и цепочка CA. IS> > IS> Да, но в конце концов проверяются
> сериалы. IS> > IS> А цепочка проверяется независимо от того,
> revocated или нет. IS> > IS> > Сериалы от разных CA могут
> совпадать, разве нет? IS> IS> $ssl_client_serial возвращает номер
> только клиентского сертификата. IS> Поэтому, если мы хотим
> аннулировать сертификат промежуточного CA или IS> наш корневой, то
> нужно аннулировать все клиентские номера, выданные IS> с этими CA.
>
> Нет, я плохо выразился. Я имел в виду, что однозначно
> идентифицировать сертификат может только его serial+вся цепочка
> подписавших - то есть только serial конечного сертификата ревочить
> в общем случае нельзя.
Для проверки бессмысленности этого действа достаточно один раз
сгенерить CRL и посмотреть в его внутренности. :)
Работающий метод, который Игорь озвучивал примерно год назад в этой же
рассылке:
    if ( $ssl_client_s_dn = "/C=RU/ST=North-West.... ){
                return 404;
        }

- --
Best regards, Andrey Y. Ostanovsky
St. Petersburg
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.2 (FreeBSD)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGLHFgeRcoIiq+xnoRAkUWAJ99Rw+P4VeJ+DzMKjVl4W+AnXGhbgCfUOET
mysU6u8uqfcKrgCqKGST7qQ=
=TMvA
-----END PGP SIGNATURE-----