From: "Alexey V. Vissarionov" <gremlin@altlinux.org> To: ALT Linux Team development discussions <devel@lists.altlinux.org> Cc: gremlin@altlinux.org Subject: Re: [devel] X509v3: CRL Distribution Points: help is needed Date: Wed, 8 Aug 2018 19:33:02 +0300 Message-ID: <20180808163302.GG30895@altlinux.org> (raw) In-Reply-To: <cd84cec1-224c-58d3-98ef-4ea4bde2ca75@altlinux.org> [-- Attachment #1: Type: text/plain, Size: 3247 bytes --] On 2018-08-08 18:43:25 +0300, manowar@altlinux.org wrote: > поле distributionPoint.fullName может, в свою очередь, быть > представлено _списком_ типа GeneralNames. Тогда получается, что > для каждого объекта DistributionPoint задать _несколько_ адресов > одновременно. Да. И это будут несколько адресов _одного_ CRL. > Возможность и смысл указания нескольких адресов подтверждается > наличием в документе следующих слов: "each name describes a > different mechanism to obtain the same CRL. ^^^^^^^^^^^^^ > т.е. каждый адрес, входящий в состав distributionPoint.fullName, > вроде бы является _альтернативой_ для получения _одного и того > же_ списка отзыва. Да. > Вот как выглядит в разобранном виде та часть файла подписи, > которая отвечает за CRL: [...] > Теперь, собственно, сам вопрос: структура выше соответствует > двум разным CRL? Нет - это один CRL, для которого предусмотрена возможность взять его как с локального зеркала (pki-lan), так и снаружи у ГРЧЦ. > или же это всё-таки два варианта получения одного и того же CRL? Да. > Иными словами, что перед нами: два объекта типа DistributionPoint > или же две строки, относящиеся к одному такому объекту? Это два места, откуда можно взять один и тот же CRL. > Сам я склоняюсь к первому варианту --- формально заявлено два > _разных_ CRL. Однако меня смущает указание на количество elem, > которое я не совсем понимаю как читать. Список из двух списков, в каждом из которых по одному элементу. > Предыстория же моего вопроса связана с тем, что первый из > указанных адресов --- это, очевидно, адрес внутренней сети, а > не Интернет. А это значит, что издатель подписи (сертификата) > рассчитывал на то, что оба указанных им адреса будут расценены > как альтернативные и, при недоступности первого, проверяющий > перейдёт по второму. Именно так. Локальное зеркало - best practice, ибо недоступность CRL может привести к тому, что отозванный сертификат будет принят как рабочий. > Но dirmngr (из пакета gnupg2) считает иначе: он расценивает > указанную информацию как список из двух различных CRL, которые, > следовательно, оба требуются для проверки подписи. Идея здравая, но реализована, мягко говоря, per rectum. > Невозможность получить CRL по первому адресу в результате > приводит к невозможности подтвердить подпись. Выражусь дипломатично: д, б. Проверять, действительно, нужно все источники (на случай, если какое-то свежее изменение в апстриме не доехало до зеркала), но отваливаться по UTV (unable to verify|validate) следует только когда недоступны _все_ источники. > Короче говоря, мне нужно понять кто не прав: GnuPG или grfc.ru. Головожопы из GnuPG, которым стандарты не писаны. > В пользу последнего как будто бы говорит его официальный статус > УЦ. Главное - в их пользу явно гласит стандарт. > Но с другой стороны, знаем мы эти статусы. Плохо знаешь. У них за прошедшие лет 10 очень многое поменялось, и прежде всего - они почти всех дедов-пердунов на пенсию выгнали. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 801 bytes --]
next prev parent reply other threads:[~2018-08-08 16:33 UTC|newest] Thread overview: 16+ messages / expand[flat|nested] mbox.gz Atom feed top 2018-08-08 15:43 manowar 2018-08-08 16:33 ` Alexey V. Vissarionov [this message] 2018-08-08 16:52 ` Paul Wolneykien 2018-08-10 12:52 ` Paul Wolneykien 2018-08-10 13:21 ` [devel] wiki altlinux.org внутренняя ошибка Александр Антонов 2018-08-10 13:46 ` Dmitry V. Levin 2018-08-10 14:03 ` Grigory Ustinov 2018-08-10 14:07 ` Alexey V. Vissarionov 2018-08-15 13:37 ` Sergey V Turchin 2018-08-10 14:29 ` Paul Wolneykien 2018-08-10 14:56 ` Leonid Krivoshein 2018-08-10 14:57 ` Anton Farygin 2018-08-10 15:09 ` Leonid Krivoshein 2018-08-10 15:29 ` Dmitry V. Levin 2018-08-10 16:26 ` Anton Farygin 2018-08-10 14:51 ` [devel] X509v3: CRL Distribution Points: help is needed Alexey V. Vissarionov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20180808163302.GG30895@altlinux.org \ --to=gremlin@altlinux.org \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git