在公钥基础设施的背景下?LDAP是指由LDAP服务器公开的公开可用的公钥,您可以使用LDAP协议进行查询?CRL 代表证书撤销列表,换句话说,它包含不被信任的证书。这两个协议是否依赖于同一个公钥证书数据库?我在这里有一个 CA,它宣布不会继续更新 CRL,但他们对 LDAP 查询的响应似乎是最新的。
问问题
1474 次
2 回答
4
LDAP是RFC4511指定的小型轻量级协议。如今,除了协议本身之外,术语LDAP还用于指代目录信息树 (DIT)
证书吊销列表( CRL) 是已被颁发机构或验证机构吊销的证书序列号列表,因此客户端无法可靠使用
LDAP 通常用作PKI 信息(例如公钥、私钥和证书)的数据存储,并且实际上在此任务中表现出色
于 2012-04-16T09:37:22.190 回答
0
- HTTP 是 CRL 信息的另一种访问方法。在美国联邦和 CertiPath PKI 中,HTTP 已成为标准,而 LDAP 现在已不常见。
- CRL 信息也可以通过 OCSP 以 1:1 的方式获取,OCSP 使用问答式的方法来查询特定数字证书/公钥的撤销状态。当需要最新的撤销信息或 CRL 规模很大(例如,美国 DoD 的 PKI)时,这尤其有用。HTTP 是 OCSP 的协议,很少通过 HTTPS 完成,因为 OCSP 响应已经过数字签名。
您的具体问题提到了 CA 不发布进一步 CRL 更新的意图。希望这意味着他们将完全停止 CA 操作并使 CA 下线。显而易见的问题是,如果该 CA 颁发的任何最终实体密钥丢失或受损,则不会有撤销信息。此外,在线的 CA(自签名根)总是有可能被破坏,并且必须能够发布一个 CRL,如果发生这种情况,它会自行撤销。仔细考虑您对不再具有权威性的受信任机构颁发的凭证的信任程度。
于 2012-04-16T12:37:02.237 回答