প্রশ্ন কিভাবে একটি CRL ফাইল হিসাবে ক্রোম এর CRL সেট (অথবা কিছু মাস্টার CRL তালিকা) ব্যবহার করবেন?


আমি একটি মাস্টার সিআরএল তালিকা খুঁজছেন। আমি খুঁজে পাওয়া সবচেয়ে কাছের জিনিসটি হল Chromium প্রকল্প CRLSets। আমি ব্যবহার করতাম crlset-সরঞ্জাম ক্র্লসেট পেতেcrlset fetch > crl-set) এবং তারপরে সিরিয়াল নম্বর ডাম্প করা হয়েছে (crlset dump crl-set) তাই আমি এই মত কিছু দেখতে:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

আমি openssl বা curl (যা openssl ব্যবহার করে) একটি CRL ফাইলে সমস্ত খারাপ সিরিয়ালগুলির মাস্টার তালিকা ধারণকারী পাস করতে সক্ষম হতে চাই। উদাহরণস্বরূপ, শুধু verisign এর CRL এ যাওয়ার পরিবর্তে, আমি সবকিছু পাস করতে চাই। আমি ভাবলাম আমি ক্রসেট দিয়ে এটি করতে পারব কিন্তু আমি মনে করি না যে বিন্যাসটি সামঞ্জস্যপূর্ণ। আমি চেষ্টা করেছিলাম openssl crl -inform DER -text -in crl-set কিন্তু এটা বলে:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

আমি যে বিষয়ে কথা বলি তা কীভাবে করতে হবে তা সম্পর্কে কারো কাছে কোন ধারণা আছে বা এটি করার জন্য কোন সৃজনশীল উপায় দয়া করে আমাকে জানান। ধন্যবাদ


12
2017-12-19 20:22


উত্স


ক্র্লসেট থেকে ফাইলের বিন্যাস সামঞ্জস্যপূর্ণ নয়। - bentek


উত্তর:


এটি সম্ভব নয়, অন্তত আপনি যে ফর্মটি চান।

Chrome এর CRLSets এ বিবেচনা করুন, সম্ভবত (সম্ভবত) একাধিক প্রত্যাহার করা শংসাপত্রগুলি রয়েছে বহু CA গুলির। সার্টিফিকেট ধারণকারী একটি একক CRL ফাইল বহু CAs একটি "পরোক্ষ সিআরএল" হিসাবে পরিচিত হয়। পরোক্ষ CRLs দুর্বল সমর্থিত হয়; দেখ এখানে এবং এখানে; OpenSSL এটি করতে সক্ষম নাও হতে পারে।

উপরন্তু, @bentek উল্লেখ হিসাবে, মনে হচ্ছে CRLsets বিন্যাসটি সামঞ্জস্যপূর্ণ নয়। বিশেষত, CRLsets বিন্যাসে সমস্ত প্রয়োজনীয় CRL ক্ষেত্র ধারণ করে না; দেখ আরএফসি 5280, অনুচ্ছেদ 5.1। CRLsets এর মধ্যে রয়েছে (তার ডকুমেন্টেশনের প্রতি) SHA-256 ইস্যুকারী শংসাপত্রগুলির জন্য বিষয় সর্বজনীন কী তথ্য এবং হ্যাশিং সার্টিফিকেট থেকে প্রত্যাহারযোগ্য শংসাপত্রগুলির জন্য শংসাপত্র ক্রমিক সংখ্যা রয়েছে। একটি পুনর্গঠন যথেষ্ট তথ্য নেই সরাসরি সিআরএল (অর্থাত CA প্রতি এক CRL ফাইল), দুঃখজনকভাবে, আমরা যদি চেয়েছিলেন। বৃহত্তম অভাব / বাদ, IMHO, হয় নাম (ডিএন) প্রত্যাহার সার্টিফিকেট ইস্যুকারী। CRLsets আমাদেরকে "ফিঙ্গারপ্রিন্ট" (SHA-256 SPKI হ্যাশ) দেয়, তবে ইন্টারনেটের সুযোগ দেওয়া প্রশ্নে শংসাপত্রের ডিএনটিতে যে আঙ্গুলের ছাপ ম্যাপিং করা সহজ কাজ নয়।


0
2018-02-19 23:22