Security: CRL

[carnivore 10]

Hallo,

Ich habe eine Frage an die Security-Freaks zum Caching von CRLs bei XP/vista Clients.

 

Wann erneuert ein Client seine gecachte CRL?

a) wenn die Lebensdauer der CRL abläuft

b) wenn sich die CRL am CDP ändert

 

vielen Dank

carni

[olc 18]

Hi,

 

im Normalfall erneuert der Client die gecachte CRL nur, wenn die Lebensdauer abgelaufen ist. Also Variante a). :)

Aus diesem Grund ist es auch so wichtig die Veröffentlichungsintervalle von CRL und Delta CRL gut zu planen, bevor es in die CA / PKI Implementierung geht.

 

Viele Grüße

olc

[carnivore 10]

Hallo olc,

Danke für deine Antwort! Ich habe mit einem Consultant zu tun, der Stein und Bein bahauptet, Variante b) würde zutreffen, das wüsste er so vom MS-Support.

 

Gruss

carnivore :-)

[olc 18]

Hi carnivore,

 

nein, ich bin mir in diesem Fall sehr sicher, daß es Variante a) ist. Das Verhalten hat sich von XP zu Vista nicht verändert. Das heißt, daß die CRL / Delta CRL im Cache auf dem Client erst erneuert wird, wenn der Termin fällig ist.

 

Der einzige Unterscheid zwischen XP und Vista ist, daß man unter Vista erstmalig (voll supported) den Cache löschen kann. Der Befehl dafür lautet:

certutil -URLcache CRL

Das war unter XP nicht offiziell supported, obwohl es da auch "Möglichkeiten" gab, von denen man jedoch besser die Finger läßt. ;)

 

Wenn der Consultant da kein Einsehen hat, dann könnt Ihr das ganze ja recht schnell nachstellen. Ich denke, dann ist die Diskussion sehr schnell beendet. :D

 

Viele Grüße

olc