为什么没有证书吊销请求标准?

信息安全 证书颁发机构 密钥管理 证书吊销
2021-08-10 15:16:50

假设我正在构建一个证书颁发机构软件,并且我想尽可能地自动化证书吊销。我知道在某些情况下这是不可能的,比如证书、钥匙和其他支持文件被烧毁的建筑物。

但在很多情况下自动化会有所帮助:

  • 名称中有错字
  • 缺少主题替代名称
  • 密钥被泄露

在密钥仍然可用的情况下,我可以发出签名的“证书撤销请求”。当然,坏人也可以发出同样的请求,但这是我们最终想要的。

但是没有标准的撤销请求。RFC 5280,第 3.5 节在 (f) 项中说明了这一点:

吊销请求:授权人员将需要吊销证书的异常情况通知 CA。

这个假设的标准撤销请求是因为安全问题而被排除在标准之外,还是因为疏忽,而不是设计目标等?

1个回答

一个标准,更一般地说,适用于与 PKI 的所有通信。它被称为证书管理协议 (CMP)撤销请求在第 5.3.9 节中指定。

现在,找到一个真正实现 CMP 的 PKI……这可能具有挑战性。

其它你可能感兴趣的问题
上一篇IPv4 是如何(是?) ping of Death 攻击? 下一篇密码安全