Vlákno názorů k článku Revokace certifikátů je rozbitá. Opravit ji mají redukované CRL od Martin Pištora - Problém je i s revokací certifikátů pro podpisy....
-
Problém je i s revokací certifikátů pro podpisy. Ty je občas potřeba ověřovat k minulému času (třeba z razítka). K tomu je potřeba staré CRL, protože expirované certifikáty v současném CRL už nejsou. Obecně je to tak, že po odvolání se s nějakým zpožděním certifikát v nějakém vydání CRL objeví. Po čase zmizí, nejspíš po expiraci. Není ale vyloučeno, že zmizí dřív a že se zase objeví.
Pro nedůvěru stačí existence CRL s daným certifikátem a to ještě ve vztahu k času ověření.
Pro důvěru nestačí nic, protože nevíme, zda takové CRL existovalo, jen ho nemáme k dispozici. -
Filip JirsákStříbrný podporovatelCertifikát z CRL nemůže zmizet a zase se objevit (pokud se nebavíme o pozastavení platnosti certifikátu, ale to se při zpětném ověřování nebere v úvahu). Jednou revokovaný certifikát je revokovaný navždy, takže z CRL zmizí až teprve po konci své původní platnosti.
Pro důvěru stačí libovolný úplný CRL vydaný po okamžiku, ke kterému ověřujete podpis, až do okamžiku konce platnosti certifikátu.Problém by mohl nastat jedině u podpisu těsně před koncem platnosti certifikátu - pokud by byl v takovém okamžiku certifikát odvolán, musí se objevit alespoň na jednom plném CRL, i kdyby to bylo po konci platnosti certifikátu. Tam by se opravdu teoreticky mohlo stát, že propásnete CRL, ve kterém je ten revokovaný certifikát uveden.
Ovšem podepisovat něco certifikátem těsně před koncem jeho platnosti obecně není dobrý nápad, protože certifikát se bude ověřovat vzhledem k okamžiku, kdy už podpis prokazatelně existoval, tj. třeba k okamžiku, kdy dokument dorazil na podatelnu - a to už může být po platnosti certifikátu. Navíc při prvním ověřování podpisu se musí čekat na CRL (dříve byl dokonce ve vyhlášce nebo v metodickém pokynu požadavek na čekání celý maximální interval vydávání CRL, a certifikát, jemuž skončila platnost (ať přirozeně nebo revokací) mezi přijetím dokumentu a okamžikem ověření v CRL, je podezřelý a neměl by být automaticky považován za platný. Takže je pravděpodobné, že podpis, který by mohl být problematický při pozdějším ověřování, bude odmítnut hned při prvním ověření.
Instituce, které potřebují ověřovat podpisy zpětně, si zpravidla budují svůj vlastní seznam odvolaných certifikátů, ve kterém mají i certifikáty, které už na současném CRL nejsou. A obvykle si k tomu uchovávají i historické CRL.
