Platnost OpenSSL certifikatu ( OpenVPN )

[Petr Rehor]

On 4/26/05, Vladimír Benc <v.benc at volny.cz> wrote:
> 
> mam dve LAN site spojene na obou koncich pres OpenVPN 1.6 a ADSL modemy.
> Vse beha jak ma ( kdyz pominu uvodni problemy s routovanim ) a dnes jsem
> byl docela prekvapen, protoze spojeni OpenVPN se prerusilo s hlaskou, ze
> klic prekrocil dobu platnosti. Ovsem klice jsem generoval s platnosti 10
 ...

> platnost 30 dni ma crl . Doted jsem myslel ze crl se uplatnuje pri
> zamezeni klice, ktery je jiz nechceme prijimat jako platny pro urcitou
> komunikaci z duvodu napriklad ztraty nebo ukradeni.

CRL vydava certifikacni autorita ktera vam vydala certifikaty a zda
se, ze OpenVPN kontroluje zda se na ni certifikaty protistrany
neobjevily. CRL je seznam zneplatnenych certifikatu (jejich id)
doplneny o dobu platnosti CRL. Po dobu platnosti CRL si kdokoliv muze
overit, ze vas certifikat na CRL neni. Po uplynuti jeho doby platnosti
musite ziskat nove, aktualni CRL. Doba platnosti CRL je pomerne
osemetna, protoze pokud dojde ke kompromitaci klicu, muzete sice
vygenerovat nove CRL zneplatnujici jejich certifikat, ale ostatni se
po nem zacnou shanet az po vyprseni platnosti predesleho CRL :-)

30 dnu je docela dlouho na to, pokud chcete CRL pouzivat k necemu
opravdovemu. Pokud vas CRL netrapi (treba proto, ze vsechna mista, kde
se vase certifikaty overuji mate pod kontrolou a zneplatneni
certifikatu provedete rekonfiguraci vsech zarizeni) pak mate dve
moznosti:
- vydat si CRL s dobou platnosti stejnou jakou je doba platnosti certifikatu CA
- nakonfigurovat OpenVPN aby nekontrolovalo certifikaty proti CRL

Ja bych sel spis druhou cestou.

P.