Revocation Listen (CRLs) automatisch importieren?

    Hallo,

    ich weiß, dass man unter Einstellungen-Erweitert-Verschlüsselung-Revocation Listen importieren kann, indem man die entsprechende URL einträgt.

    Ich würde nun gerne wissen, ob es eine Möglichkeit gibt, die CRLs automatisch zu importieren, sobald man eine Seite lädt, in deren Zertifikat der CRL Distribution Point hinterlegt ist.
    Also ob es dem Browser möglich ist die im Distribution Point hinterlegte URL selber auszulesen und man den Import somit nicht mehr manuell durchführen muss.

    Gruss Dominic

    domi fragte:

    Zitat

    [...]Also ob es dem Browser möglich ist die im Distribution Point hinterlegte URL selber auszulesen und man den Import somit nicht mehr manuell durchführen muss.


    Du sprichst von der authorisierten Einwahl gegenüber vertraulichen Servercontent, der bezüglich seiner Verifizierung und über Open SSL-CA obendrein noch zeitlich limitiert ist?

    Schlechte Idee, so etwas automatisch in den Browser implementieren zu wollen. Firefox unterstützt zwar meines Wissens nach OCSP (Online Certificate Status Protocol) - jedoch können solche CRL-Listen im Internet manipuliert oder verfälscht worden sein. (Temporarily (Hold) oder Permanently (Revoke). VeriSign, Thawte und CA sind darüberhinaus Profit-Organisations mit eigenen Regeln, die in die URL´s eingebunden werden. Du könntest Dir auch niemals sicher sein, ob eine URL, die über CA zwar als vertrauensvoll verifiziert worden ist, nicht doch bereits über DNS-Poisoning gehijacked wurde. Ähnlich verhält es sich meiner Meinung nach mit dem automatisierten Pishing-Schutz.

    Nach meinen Kenntnissen ist es nicht möglich, den FF (und andere Browser) dazu zu verleiten, solche Listen automatisch downzuloaden und abzugleichen. Solche Datensätze müssen manuell heruntergeladen werden, und aus sicherheitstechnischer Sichtweise hat das auch seinen Grund.


    Oliver

    Hallo,

    danke für deine schnelle Antwort. Es ist nicht so, dass der FF das können soll. Ich wollte nur wissen, ob ich übersehen habe, dass er es kann.

    "Du sprichst von der authorisierten Einwahl gegenüber vertraulichen Servercontent, der bezüglich seiner Verifizierung und über Open SSL-CA obendrein noch zeitlich limitiert ist? "
    Der FF kann seine CRLs doch auch automatisch updaten indem er auf die URL zugreift. Warum stellt denn der erste Zugriff einen Unterschied dar? Sicherlich sind die CRLs zeitlich limitiert, aber dafür gibt es doch das extra das Feld mit dem nächsten Update, damit der Browser weiß, wann eine Aktualisierung durchzuführen ist.

    "jedoch können solche CRL-Listen im Internet manipuliert oder verfälscht worden sein. "
    Aus diesem Grund sollten CRLs doch auch signiert sein. Wenn ich also der CRL nicht vertrauen kann, dann doch auch nicht mehr der Ca, oder sehe ich das falsch?

    "Du könntest Dir auch niemals sicher sein, ob eine URL, die über CA zwar als vertrauensvoll verifiziert worden ist, nicht doch bereits über DNS-Poisoning gehijacked wurde. "
    Da finde ich meinen Einwand wohl wieder =) Mit DNS-Poisoning kenne ich mich nicht so aus.

    Wenn ich irgendwas falsch verstanden habe, lasse ich mich gerne korrigieren.

    Gruss domi