Реплика: проверка статуса сертификата и короткий срок действия
В короткоживущих TLS-сертификатах Let’s Encrypt вообще не планируется указывать информацию о механизмах проверки отзыва: ни OCSP, ни CRL. То есть, будет только истечение срока действия сертификата. Новая парадигма. Актуальные требования CA/B-форума как раз позволяют для короткоживущих сертификатов так делать – изменения внесли относительно недавно: сперва сделали OCSP опциональным для всех (что очень правильно), а потом добавили исключение CRL для короткоживущих сертификатов.
Интересно, что истечение срока действия, как метод придания сертификату “недействительности”, гораздо сильнее, чем неработающая проверка отзыва. То есть, отзыв, действительно, мало кто проверяет, а вот срок действия – проверяют едва ли не повсеместно. Ну, как минимум, гораздо чаще проверяют, чем отзыв. Например, те же браузеры, как основной клиент веба, срок действия отслеживают достаточно строго. При этом, если для оформления отзыва нужно предпринимать какие-то действия со стороны УЦ, то обработка истечения срока действия – исключительно на стороне клиента.
Адрес записки: https://dxdt.ru/2025/03/03/15113/
Похожие записки:
- DNSSEC и особенности развития технологий
- О квантовой криптографии на сайте IBM
- Реестр параметров TLS IANA и именование индексов
- Уводящие помехи GPS/GNSS
- Набеги ботов под прикрытием AI
- Стандарты NIST для "постквантовых" криптосистем
- Геоаналитика через "Яндекс"
- "Пасхалки" в трафике
- Публикация ТЦИ о постквантовых криптосистемах
- Сертификаты и их цепочки в вебе
- Построение CVE-2025-0282 в Ivanti Connect Secure
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Написать комментарий