| 29.10.2004 12:19:30 | Механизм проверки статуса сертификата по списку отозванных сертификатов | | Ответов: 5 |
|
 hellguard | | |
|
| Каков механизм проверки статуса сертификата по списку установленных сертификатов после установки CRL? Почему после установки CRL в локальное хранилище статус сертификата, который в CRL отозван, все равно показывается как действительный? |
| |
Ответы:
|
| 29.10.2004 12:21:10 | hellguard |
|
| Прошу прощения за опечатку - по списку отозванных сертификатов (а не установленных) |
|
|
Если просматриваете сертификат в стандартном окне просмотра сертификатов, то проверки на его присутствие в CRL не присходит.
Эти функции должна осущетсвлять прикладная система, в которой используется ЭЦП |
|
| 29.10.2004 13:16:07 | hellguard |
|
| Спасибо! По второму вопросу ясно. Но как эта проверка осуществляется приложением? Каков порядок проведения данной проверки? |
|
|
Порядок проведения проверки определяется уже конкретной реализацией приложения. Например, если взять MS Outlook, то при проверке подписанного почтового сообщения этот почтовый клиент сначала использует CRL, установленный локально, если локально установленного действительного CRL нет, то просматривает кэш интернета, если и там нет - то "лезет" по CDP (CRL Disribution Point) содержащейся в сертификате, на котором проверяем ЭЦП. В том случае, если действующий CRL так и не удалось получить - будет выдано сообщение: Не удалось проверить статус сертификата. Если он оказался в CRL, то подпись не верна, если в CRL его нет, то подпись действительна.
Некоторые приложения сразу "лезут" по CDP и никак не используют локально установленные CRL |
|
| 29.10.2004 14:40:57 | hellguard |
|
| А какие параметры проверяются? Только серийный номер сертификата или еще какие-нибудь? |
|
