1. 首頁
  2. 問答
  3. 安全部署的標準方法

安全部署的標準方法

2011-05-10 65 views
1

我有以下問題:
在安全部署中,如果對證書進行吊銷檢查,但在某些特定時刻無法確定其狀態的標準做法是什麼?目標證書?
例如因爲網絡故障或OCSP故障等(任何原因基本上不能確定證書的狀態實際是什麼)。
起初,我認爲證書應該被認爲是被拒絕的(例如刪除會話)。另一方面,如果我是一個有效的用戶並且由於不相關的問題(比如網絡問題)而被拒絕訪問資源,我根本不會喜歡它。
所以我不確定,這裏會發生什麼,它將取決於每個安全環境,還是實際上有一些標準方法來處理這個問題?安全部署的標準方法

任何投入都非常受歡迎。

來源

2011-05-10 Cratylus

+0

對於一些深入的答案,您可以將此問題移到安全堆棧交換。 – 2011-05-11 09:40:40

+0

@Rory:不知道。剛纔看到它,它說它是一個Beta版。測試版意味着什麼? – Cratylus 2011-05-11 18:05:19

+0

@ user-stackexchange站點增長的方式是從提案到承諾到私人測試版到公共測試版到完整站點。我們在6個月前開始,並且距離全場地位的資格並不遙遠。 – 2011-05-11 18:12:02

回答

0

某些系統在固定或可配置的持續時間內緩存撤銷列表和/或吊銷驗證結果。一些請求用戶決定。有些可以同時執行(即:僅當緩存的結果指示證書尚未撤銷時才請求用戶決策)。

來源

2011-05-11 12:24:22

1

Web瀏覽器有同樣的問題。當您連接到網站時,他們使用OCSP檢查網站的證書與撤銷證書。但是,如果OCSP服務器發生故障(這通常發生,因爲CA不會與OCSP正常運行時間競爭),但它們不能。在那種情況下,他們認爲證書是有效的。當然,它總是與你的用例和威脅模型有關。如果這種假設的成本很高 - 即。一個國家破產或者有幾個人死亡 - 那麼除非檢查撤銷,否則明智的做法是不要有效。

來源

2011-05-11 08:30:35 Nikos

+0

用於用例和威脅模型。大多數人都錯過了這些。 – 2011-05-11 09:39:50

+0

我不明白你的觀點,「CA不會與OCSP正常運行時間競爭」。如果CA不是OCSP,那麼我認爲提供OCSP的服務的可用性很高。或者我錯了嗎? – Cratylus 2011-05-11 17:59:28

+0

@ user384706:CA通常運行OCSP服務器,但他們可能並不關心OCSP是否無法全天候運行。 – Nikos 2011-05-12 08:34:24

相關問題

 相關問題