Vlákno názorů k článku
SSL autentizácia s webovým serverom Apache

Clanek je super, jedine, co mi v nem chybi, je moznost odvolavat klientske certifikaty a implementace teto vlastnosti do apache.

Tohle by me taky docela zajimalo, hlavne jestli Apache (nebo nejaky jeho modul) umi ziskavat CRL automaticky z CDP, ktere(a) je(jsou) v certifikatu. Aby se nemuseli stahovat nejakym externim skriptem.

odvolání platnosti certifikátu není věcí apache. to je věc certifikační autority. mod_ssl je možné nastavit, aby kontroloval certifikáty dle revokačního seznamu (to znamená odmítal pokusy o autentizaci zneplatněným certifikátem).

direktivou SSLCARevocationPath modulu řeknete kde najde seznam zneplatněných certifikátů. ten musíte pravidelně aktualizovat např. skriptem v cronu.

týká se to samozřejmě pouze certifkátů, které byly zneplatněny např. z důvodu kompromitace klíče. certifikáty, kterým vypršela časová platnost v revokačním seznamu nejsou. ty jsou modulem odmítány automaticky v rámci základní kontroly platnosti ( kontrola platnosti notBefore & notAfter, kontrola podpisu CA …).

ale to je snad jasné. :)

Copak v tý SSLCARevocationPath neni možný použít rovnou URL adresu CRL?

Víš jak by to dlouho trvalo, kdyby se při každým dotazu na server stahoval CLR?