Список отозванных сертификатов (англ. Certificate Revocation List) — это список сертификатов, которые удостоверяющий центр пометил как отозванные. Списки отозванных сертификатов (СОС) применяются для того, чтобы установить, был ли сертификат пользователя или удостоверяющего центра отозван в связи с компрометацией ключей. Важное свойство СОС — он содержит информацию только о сертификатах, срок действия которых не истёк.
Certificate Revocation List | |
---|---|
Расширение | . |
MIME-тип | application/pkix-crl |
Опубликован | Май 1999 |
Тип формата | список и формат файла |
Содержит | X.509 CRL |
Стандарт(ы) | RFC 2585 |
История
История создания PKI (Инфраструктура открытых ключей) восходит к оригинальной работе Уитфилда Диффи и Мартина Хеллмана по криптографии с открытым ключом, в которой предлагается каталог открытых файлов, который пользователи могли бы использовать, чтобы найти открытые ключи других пользователей.
Понимая некоторые недостатки этого подхода, в том числе то, что отключение доступа к каталогу не позволит пользователям безопасно общаться, [англ.] предложил концепцию сертификатов в 1978 году. Сертификаты разделяют функции подписи и поиска, позволяя центру сертификации связывать имя с ключом с помощью цифровой подписи, а затем хранить полученный сертификат в репозитории. Поскольку хранилище можно реплицировать и сделать отказоустойчивым, подход CA устраняет многие проблемы, связанные с надёжностью каталогов.
Спустя несколько лет после того, как Конфельдер опубликовал свою диссертацию, разработчики включили использование сертификата в X.500, глобальный каталог названных объектов, управляемых монопольными телекоммуникационными компаниями. В каталоге X.500 предлагается иерархическая модель базы данных, причём путь через каталог определяется рядом компонентов относительного отличительного имени (RDN), которые вместе образуют отличительное имя (DN). Чтобы защитить доступ к каталогу, его разработчики предложили различные механизмы контроля доступа, начиная от простых основанных на пароле мер и заканчивая относительно новым подходом к использованию цифровых подписей. Этим стандартом, включённым в X.500, был стандарт X.509v1. На данный момент существует версия x.509v3.
Разработчики основывали концепцию СОС на чёрных списках кредитных карт, которые использовались в 1970-х годах. Компании, выпускающие кредитные карты, периодически печатали буклеты с номерами аннулированных карт и распространяли их среди продавцов, ожидая, что они проверят все карты, с которыми взаимодействуют, в чёрном списке, прежде чем их принять. Те же проблемы, которые затрагивали чёрные списки кредитных карт, сегодня влияют на СОС.
Принцип работы
Удостоверяющий центр периодически выдаёт список, который он публикует в хранилище. Каждый СОС включает поле nextUpdate, которое указывает время, когда будет выпущен следующий СОС. Любая проверяющая сторона, которой требуется информация о статусе сертификата и у которой ещё нет текущего СОС, получает текущий список из хранилища. Если сертификат, который проверяет клиент, не находится в списке, то работа продолжается в нормальном режиме и ключ считается подтверждённым сертификатом. Если же сертификат присутствует, то ключ считается недействительным и ему нельзя доверять.
Для повышения производительности копии списка отзыва сертификатов могут распространяться на несколько хранилищ. Каждой проверяющей стороне необходим самый последний список для выполнения проверки. После того, как проверяющая сторона получит самый последний СОС, ей не нужно будет запрашивать дополнительную информацию из хранилища, пока не будет выпущен новый СОС. В результате в течение периода времени, в течение которого СОС является действительным (то есть наиболее текущим), каждая проверяющая сторона будет направлять не более одного запроса в хранилище для СОС. Этот запрос будет сделан в первый раз после того, как текущий СОС выпущен.
Существует также механизм дельта-СОС, который является необязательным механизмом, указанным в RFC 2459, который может использоваться для улучшения распространения информации об аннулировании. Списки дельта-СОС являются сравнительно небольшими по объёму, содержащими только те изменения в перечнях аннулированных сертификатов, которые имели место с момента формирования центром CA последней версии абсолютного списка (complete CRL). Поскольку списки дельта-СОС невелики, клиенты PKI могут загружать их чаще, чем списки complete CRL, соответственно, при этом центр УЦ обеспечивает своих клиентов более точной информацией об аннулированных сертификатах.
Недостатки
Некоторые проблемы затрудняют работу с СОС. СОС в некоторых случаях оказывается ненадежным в качестве механизма распространения статуса сертификата. Критические приложения требуют немедленного отзыва — или, точнее, информации о статусе сертификата в реальном времени — и списки отзыва сертификатов не всегда решают эту основную проблему по нескольким причинам.
Основные проблемы СОС:
- СОС выдаются недостаточно часто, чтобы быть эффективными против злоумышленника, получившего чужой закрытый ключ
- атака типа «отказ в обслуживании» легко делает их неэффективными (существует решение в виде зеркал)
СОС страдают от нескольких других практических проблем. Чтобы гарантировать своевременное обновление статуса, сервер должен выдавать СОС как можно чаще. Тем не менее, выдача СОС увеличивает нагрузку на сервер и сеть, которая его передает, и, в меньшей степени, на клиента, который его получает. Например 10 млн клиентов загружают 1 МБ СОС, выдаваемых раз в минуту, = трафик ~ 150 ГБ/с. Следовательно это дорогая операция. Выдача СОС раз в минуту обеспечивает умеренно своевременный отзыв за счет огромных накладных расходов, поскольку каждая проверяющая сторона загружает новый СОС (во многих случаях эта задача ложится на Дельта-СОС и проблема решается). С другой стороны, задержка выдачи до одного раза в час или день не обеспечивает своевременного отзыва при условии, что в этот период некоторые сертификаты были отозваны.
В списках отзыва сертификатов также отсутствуют механизмы взимания с проверяющих сторон платы за проверку отзыва. Когда центр сертификации выдаёт сертификат, он взимает с пользователя плату. Сумма, которую взимает ЦС, обычно зависит от того, сколько он проверяет перед выдачей сертификата. С другой стороны, пользователи ожидают, что УЦ будут создавать и выдавать СОС бесплатно. Ни пользователь, ни центр сертификации не могут однозначно сказать, кто будет проверять сертификат, как часто он будет проверяться или какая задержка будет приемлемой. Эта ситуация служит активным сдерживающим фактором для УЦ, чтобы уделять большое внимание СОС, поскольку для их создания и распределения требуется время обработки, один или несколько серверов и значительная пропускная способность сети.
Аналоги
На данный момент существует несколько аналогов СОС, которые не имеют недостатков СОС, но при этом имеют собственные.
Одним из аналогов является OCSP — Online Certificate Status Protocol. Данное решение проблемы предоставляет ответ сервера о данном конкретном запрашиваемом сертификате в режиме реального времени. Этот подход решает многие проблемы, присущие СОС, создавая одноразовый, свежий СОС с одиночной записью в ответ на запрос. В отличие от этого модель на основе СОС требует, чтобы проверяющие стороны неоднократно получали огромное количество не относящихся к делу записей, чтобы получить информацию о состоянии для одного сертификата, который им нужен. Однако OCSP имеет свою стоимость. Вместо подготовки СОС в качестве фоновой автономной операции УЦ теперь должен выполнять поиск сертификата и операцию создания псевдо-СОС для каждого запроса. Чтобы сделать OCSP экономически целесообразным, УЦ должен взимать плату за каждую проверку отзыва. OCSP решает эту проблему, подписывая запросы на идентификацию отправителя для выставления счетов.
Данный метод также имеет свои недостатки. Основной недостаток OCSP заключается в том, что вместо простого ответа «да» или «нет» на запрос о достоверности он использует несколько неортогональных значений состояния сертификата, поскольку не может дать действительно точный ответ. Эта неопределённость проистекает, по крайней мере, частично из исходного механизма статуса сертификата на основе СОС. Поскольку СОС может предоставить только отрицательный результат, тот факт, что сертификат не присутствует в СОС, не означает, что он когда-либо был выпущен или все ещё действителен.
Основная проблема подходов, основанных на чёрном списке, таких как СОС и OCSP, заключается в том, что они задают совершенно неправильный вопрос. Вместо того, чтобы спрашивать: «Сертификат в настоящее время действителен?», Они спрашивают: «Аннулирован ли сертификат?», Потому что это единственный вопрос, на который может ответить чёрный список.
Также OCSP раскрывает историю подключений клиента третьей стороне (УЦ).
Обновление OCSP — это [англ.]. Он избавляет от необходимости повторно отправлять запрос OCSP, выдавая ответ OCSP вместе с самим сертификатом. Это называется OCSP Stapling, потому что сервер должен «скрепить» (staple) ответ OCSP с сертификатом и выдать их вместе. При установке соединения сервер передаёт клиенту свою цепочку сертификатов вместе с соответствующими ей OCSP-ответами. Ответ OCSP действует только короткий промежуток времени и подписан УЦ точно так же, как сертификат. Это также устраняет проблему конфиденциальности OCSP, поскольку респондент не имеет доступа к сведениям о посетителях веб-сайта. Это широко не реализовано, только 3 % серверов поддерживают OCSP Stapling.
Использование
Одним из возможных применений инфраструктуры открытых ключей является HTTPS. Многие браузеры используют 2 основных подхода: СОС и OCSP. Mozilla Firefox не загружает СОС автоматически. Браузер использует OCSP для проверки того, был ли сертификат отозван. Internet Explorer, и Opera делают гораздо более тщательную работу; они оба поддерживают OCSP и CRL и выполняют подходящие проверки для всех типов сертификатов. Но СОС применяется, в основном, как запасной вариант в данной проверке.
Важной областью применения PKI, а также СОС в частности, является электронная подпись. Сертификат удостоверяет, что открытый и закрытый ключи принадлежит именно его владельцу. Отзыв сертификата означает, что ключ был скомпрометирован.
Алгоритм проверки заключается в следующем:
- Получатель принимает сообщение, электронную подпись и ссылку на сертификат, которая в большинстве своём является частью электронной подписи.
- С помощью открытого ключа субъекта получатель расшифровывает электронную подпись, а также сам вычисляет контрольную сумму сообщения. Получатель сравнивает контрольные суммы.
- Далее получатель находит сертификат автора электронной подписи, по цепочке сертификатов (далее, переходим к издателю сертификата и его сертификату) происходит спуск вниз, до УЦ, которому доверяет получатель ЭП.
- Происходит проверка всех сертификатов в цепочке в СОС. Если хеши совпадают и все сертификаты в цепочке действительны, происходит подтверждение целостности и авторства документа.
Примечания
Литература
- А. И. Колыбельников. Новый алгоритм формирования списков отозванных сертификатов [1]
- P. Gutmann. PKI: it’s not dead, just resting [2]
- David A. Cooper. A Model of Certificate Revocation [3]
- Michael Cobb. How do different browsers handle SSL certificate revocation? [4]
- Emin Topalovic, Brennan Saeta. Towards Short-Lived Certificates [5]
- Peter Gutmann. Everything you Never Wanted to Know about PKI but were Forced to Find Out [6]
Ссылки
- RFC 5280
- Ручная проверка сертификата по CRL
Для улучшения этой статьи :
|
Википедия, чтение, книга, библиотека, поиск, нажмите, истории, книги, статьи, wikipedia, учить, информация, история, скачать, скачать бесплатно, mp3, видео, mp4, 3gp, jpg, jpeg, gif, png, картинка, музыка, песня, фильм, игра, игры, мобильный, телефон, Android, iOS, apple, мобильный телефон, Samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Сеть, компьютер
Spisok otozvannyh sertifikatov angl Certificate Revocation List eto spisok sertifikatov kotorye udostoveryayushij centr pometil kak otozvannye Spiski otozvannyh sertifikatov SOS primenyayutsya dlya togo chtoby ustanovit byl li sertifikat polzovatelya ili udostoveryayushego centra otozvan v svyazi s komprometaciej klyuchej Vazhnoe svojstvo SOS on soderzhit informaciyu tolko o sertifikatah srok dejstviya kotoryh ne istyok Certificate Revocation List Rasshirenie code crl code MIME tip application pkix crl Opublikovan Maj 1999 Tip formata spisok i format fajla Soderzhit X 509 CRL Standart y RFC 2585IstoriyaIstoriya sozdaniya PKI Infrastruktura otkrytyh klyuchej voshodit k originalnoj rabote Uitfilda Diffi i Martina Hellmana po kriptografii s otkrytym klyuchom v kotoroj predlagaetsya katalog otkrytyh fajlov kotoryj polzovateli mogli by ispolzovat chtoby najti otkrytye klyuchi drugih polzovatelej Ponimaya nekotorye nedostatki etogo podhoda v tom chisle to chto otklyuchenie dostupa k katalogu ne pozvolit polzovatelyam bezopasno obshatsya angl predlozhil koncepciyu sertifikatov v 1978 godu Sertifikaty razdelyayut funkcii podpisi i poiska pozvolyaya centru sertifikacii svyazyvat imya s klyuchom s pomoshyu cifrovoj podpisi a zatem hranit poluchennyj sertifikat v repozitorii Poskolku hranilishe mozhno replicirovat i sdelat otkazoustojchivym podhod CA ustranyaet mnogie problemy svyazannye s nadyozhnostyu katalogov Spustya neskolko let posle togo kak Konfelder opublikoval svoyu dissertaciyu razrabotchiki vklyuchili ispolzovanie sertifikata v X 500 globalnyj katalog nazvannyh obektov upravlyaemyh monopolnymi telekommunikacionnymi kompaniyami V kataloge X 500 predlagaetsya ierarhicheskaya model bazy dannyh prichyom put cherez katalog opredelyaetsya ryadom komponentov otnositelnogo otlichitelnogo imeni RDN kotorye vmeste obrazuyut otlichitelnoe imya DN Chtoby zashitit dostup k katalogu ego razrabotchiki predlozhili razlichnye mehanizmy kontrolya dostupa nachinaya ot prostyh osnovannyh na parole mer i zakanchivaya otnositelno novym podhodom k ispolzovaniyu cifrovyh podpisej Etim standartom vklyuchyonnym v X 500 byl standart X 509v1 Na dannyj moment sushestvuet versiya x 509v3 Razrabotchiki osnovyvali koncepciyu SOS na chyornyh spiskah kreditnyh kart kotorye ispolzovalis v 1970 h godah Kompanii vypuskayushie kreditnye karty periodicheski pechatali buklety s nomerami annulirovannyh kart i rasprostranyali ih sredi prodavcov ozhidaya chto oni proveryat vse karty s kotorymi vzaimodejstvuyut v chyornom spiske prezhde chem ih prinyat Te zhe problemy kotorye zatragivali chyornye spiski kreditnyh kart segodnya vliyayut na SOS Princip rabotyUdostoveryayushij centr periodicheski vydayot spisok kotoryj on publikuet v hranilishe Kazhdyj SOS vklyuchaet pole nextUpdate kotoroe ukazyvaet vremya kogda budet vypushen sleduyushij SOS Lyubaya proveryayushaya storona kotoroj trebuetsya informaciya o statuse sertifikata i u kotoroj eshyo net tekushego SOS poluchaet tekushij spisok iz hranilisha Esli sertifikat kotoryj proveryaet klient ne nahoditsya v spiske to rabota prodolzhaetsya v normalnom rezhime i klyuch schitaetsya podtverzhdyonnym sertifikatom Esli zhe sertifikat prisutstvuet to klyuch schitaetsya nedejstvitelnym i emu nelzya doveryat Dlya povysheniya proizvoditelnosti kopii spiska otzyva sertifikatov mogut rasprostranyatsya na neskolko hranilish Kazhdoj proveryayushej storone neobhodim samyj poslednij spisok dlya vypolneniya proverki Posle togo kak proveryayushaya storona poluchit samyj poslednij SOS ej ne nuzhno budet zaprashivat dopolnitelnuyu informaciyu iz hranilisha poka ne budet vypushen novyj SOS V rezultate v techenie perioda vremeni v techenie kotorogo SOS yavlyaetsya dejstvitelnym to est naibolee tekushim kazhdaya proveryayushaya storona budet napravlyat ne bolee odnogo zaprosa v hranilishe dlya SOS Etot zapros budet sdelan v pervyj raz posle togo kak tekushij SOS vypushen Sushestvuet takzhe mehanizm delta SOS kotoryj yavlyaetsya neobyazatelnym mehanizmom ukazannym v RFC 2459 kotoryj mozhet ispolzovatsya dlya uluchsheniya rasprostraneniya informacii ob annulirovanii Spiski delta SOS yavlyayutsya sravnitelno nebolshimi po obyomu soderzhashimi tolko te izmeneniya v perechnyah annulirovannyh sertifikatov kotorye imeli mesto s momenta formirovaniya centrom CA poslednej versii absolyutnogo spiska complete CRL Poskolku spiski delta SOS neveliki klienty PKI mogut zagruzhat ih chashe chem spiski complete CRL sootvetstvenno pri etom centr UC obespechivaet svoih klientov bolee tochnoj informaciej ob annulirovannyh sertifikatah NedostatkiNekotorye problemy zatrudnyayut rabotu s SOS SOS v nekotoryh sluchayah okazyvaetsya nenadezhnym v kachestve mehanizma rasprostraneniya statusa sertifikata Kriticheskie prilozheniya trebuyut nemedlennogo otzyva ili tochnee informacii o statuse sertifikata v realnom vremeni i spiski otzyva sertifikatov ne vsegda reshayut etu osnovnuyu problemu po neskolkim prichinam Osnovnye problemy SOS SOS vydayutsya nedostatochno chasto chtoby byt effektivnymi protiv zloumyshlennika poluchivshego chuzhoj zakrytyj klyuch ataka tipa otkaz v obsluzhivanii legko delaet ih neeffektivnymi sushestvuet reshenie v vide zerkal SOS stradayut ot neskolkih drugih prakticheskih problem Chtoby garantirovat svoevremennoe obnovlenie statusa server dolzhen vydavat SOS kak mozhno chashe Tem ne menee vydacha SOS uvelichivaet nagruzku na server i set kotoraya ego peredaet i v menshej stepeni na klienta kotoryj ego poluchaet Naprimer 10 mln klientov zagruzhayut 1 MB SOS vydavaemyh raz v minutu trafik 150 GB s Sledovatelno eto dorogaya operaciya Vydacha SOS raz v minutu obespechivaet umerenno svoevremennyj otzyv za schet ogromnyh nakladnyh rashodov poskolku kazhdaya proveryayushaya storona zagruzhaet novyj SOS vo mnogih sluchayah eta zadacha lozhitsya na Delta SOS i problema reshaetsya S drugoj storony zaderzhka vydachi do odnogo raza v chas ili den ne obespechivaet svoevremennogo otzyva pri uslovii chto v etot period nekotorye sertifikaty byli otozvany V spiskah otzyva sertifikatov takzhe otsutstvuyut mehanizmy vzimaniya s proveryayushih storon platy za proverku otzyva Kogda centr sertifikacii vydayot sertifikat on vzimaet s polzovatelya platu Summa kotoruyu vzimaet CS obychno zavisit ot togo skolko on proveryaet pered vydachej sertifikata S drugoj storony polzovateli ozhidayut chto UC budut sozdavat i vydavat SOS besplatno Ni polzovatel ni centr sertifikacii ne mogut odnoznachno skazat kto budet proveryat sertifikat kak chasto on budet proveryatsya ili kakaya zaderzhka budet priemlemoj Eta situaciya sluzhit aktivnym sderzhivayushim faktorom dlya UC chtoby udelyat bolshoe vnimanie SOS poskolku dlya ih sozdaniya i raspredeleniya trebuetsya vremya obrabotki odin ili neskolko serverov i znachitelnaya propusknaya sposobnost seti AnalogiNa dannyj moment sushestvuet neskolko analogov SOS kotorye ne imeyut nedostatkov SOS no pri etom imeyut sobstvennye Odnim iz analogov yavlyaetsya OCSP Online Certificate Status Protocol Dannoe reshenie problemy predostavlyaet otvet servera o dannom konkretnom zaprashivaemom sertifikate v rezhime realnogo vremeni Etot podhod reshaet mnogie problemy prisushie SOS sozdavaya odnorazovyj svezhij SOS s odinochnoj zapisyu v otvet na zapros V otlichie ot etogo model na osnove SOS trebuet chtoby proveryayushie storony neodnokratno poluchali ogromnoe kolichestvo ne otnosyashihsya k delu zapisej chtoby poluchit informaciyu o sostoyanii dlya odnogo sertifikata kotoryj im nuzhen Odnako OCSP imeet svoyu stoimost Vmesto podgotovki SOS v kachestve fonovoj avtonomnoj operacii UC teper dolzhen vypolnyat poisk sertifikata i operaciyu sozdaniya psevdo SOS dlya kazhdogo zaprosa Chtoby sdelat OCSP ekonomicheski celesoobraznym UC dolzhen vzimat platu za kazhduyu proverku otzyva OCSP reshaet etu problemu podpisyvaya zaprosy na identifikaciyu otpravitelya dlya vystavleniya schetov Dannyj metod takzhe imeet svoi nedostatki Osnovnoj nedostatok OCSP zaklyuchaetsya v tom chto vmesto prostogo otveta da ili net na zapros o dostovernosti on ispolzuet neskolko neortogonalnyh znachenij sostoyaniya sertifikata poskolku ne mozhet dat dejstvitelno tochnyj otvet Eta neopredelyonnost proistekaet po krajnej mere chastichno iz ishodnogo mehanizma statusa sertifikata na osnove SOS Poskolku SOS mozhet predostavit tolko otricatelnyj rezultat tot fakt chto sertifikat ne prisutstvuet v SOS ne oznachaet chto on kogda libo byl vypushen ili vse eshyo dejstvitelen Osnovnaya problema podhodov osnovannyh na chyornom spiske takih kak SOS i OCSP zaklyuchaetsya v tom chto oni zadayut sovershenno nepravilnyj vopros Vmesto togo chtoby sprashivat Sertifikat v nastoyashee vremya dejstvitelen Oni sprashivayut Annulirovan li sertifikat Potomu chto eto edinstvennyj vopros na kotoryj mozhet otvetit chyornyj spisok Takzhe OCSP raskryvaet istoriyu podklyuchenij klienta tretej storone UC Obnovlenie OCSP eto angl On izbavlyaet ot neobhodimosti povtorno otpravlyat zapros OCSP vydavaya otvet OCSP vmeste s samim sertifikatom Eto nazyvaetsya OCSP Stapling potomu chto server dolzhen skrepit staple otvet OCSP s sertifikatom i vydat ih vmeste Pri ustanovke soedineniya server peredayot klientu svoyu cepochku sertifikatov vmeste s sootvetstvuyushimi ej OCSP otvetami Otvet OCSP dejstvuet tolko korotkij promezhutok vremeni i podpisan UC tochno tak zhe kak sertifikat Eto takzhe ustranyaet problemu konfidencialnosti OCSP poskolku respondent ne imeet dostupa k svedeniyam o posetitelyah veb sajta Eto shiroko ne realizovano tolko 3 serverov podderzhivayut OCSP Stapling IspolzovanieOdnim iz vozmozhnyh primenenij infrastruktury otkrytyh klyuchej yavlyaetsya HTTPS Mnogie brauzery ispolzuyut 2 osnovnyh podhoda SOS i OCSP Mozilla Firefox ne zagruzhaet SOS avtomaticheski Brauzer ispolzuet OCSP dlya proverki togo byl li sertifikat otozvan Internet Explorer i Opera delayut gorazdo bolee tshatelnuyu rabotu oni oba podderzhivayut OCSP i CRL i vypolnyayut podhodyashie proverki dlya vseh tipov sertifikatov No SOS primenyaetsya v osnovnom kak zapasnoj variant v dannoj proverke Vazhnoj oblastyu primeneniya PKI a takzhe SOS v chastnosti yavlyaetsya elektronnaya podpis Sertifikat udostoveryaet chto otkrytyj i zakrytyj klyuchi prinadlezhit imenno ego vladelcu Otzyv sertifikata oznachaet chto klyuch byl skomprometirovan Algoritm proverki zaklyuchaetsya v sleduyushem Poluchatel prinimaet soobshenie elektronnuyu podpis i ssylku na sertifikat kotoraya v bolshinstve svoyom yavlyaetsya chastyu elektronnoj podpisi S pomoshyu otkrytogo klyucha subekta poluchatel rasshifrovyvaet elektronnuyu podpis a takzhe sam vychislyaet kontrolnuyu summu soobsheniya Poluchatel sravnivaet kontrolnye summy Dalee poluchatel nahodit sertifikat avtora elektronnoj podpisi po cepochke sertifikatov dalee perehodim k izdatelyu sertifikata i ego sertifikatu proishodit spusk vniz do UC kotoromu doveryaet poluchatel EP Proishodit proverka vseh sertifikatov v cepochke v SOS Esli heshi sovpadayut i vse sertifikaty v cepochke dejstvitelny proishodit podtverzhdenie celostnosti i avtorstva dokumenta PrimechaniyaLiteraturaA I Kolybelnikov Novyj algoritm formirovaniya spiskov otozvannyh sertifikatov 1 P Gutmann PKI it s not dead just resting 2 David A Cooper A Model of Certificate Revocation 3 Michael Cobb How do different browsers handle SSL certificate revocation 4 Emin Topalovic Brennan Saeta Towards Short Lived Certificates 5 Peter Gutmann Everything you Never Wanted to Know about PKI but were Forced to Find Out 6 SsylkiRFC 5280 Ruchnaya proverka sertifikata po CRL Dlya uluchsheniya etoj stati zhelatelno Oformit statyu po pravilam Prostavit snoski vnesti bolee tochnye ukazaniya na istochniki Posle ispravleniya problemy isklyuchite eyo iz spiska Udalite shablon esli ustraneny vse nedostatki