CRL: "This Update" у дельт постоянно совпадает с базовым

vsenko · 23.08.2023 13:06:41

Добрый вечер,

У дельт в поле “This Update” значение равно аналогичному в базовом CRL. К примеру базовый:

Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: 1.2.398.3.10.1.1.1.2
        Issuer: C = KZ, CN = \D2\B0\D0\9B\D0\A2\D0\A2\D0\AB\D2\9A \D0\9A\D0\A3\D3\98\D0\9B\D0\90\D0\9D\D0\94\D0\AB\D0\A0\D0\A3\D0\A8\D0\AB \D0\9E\D0\A0\D0\A2\D0\90\D0\9B\D0\AB\D2\9A (GOST)
        Last Update: Aug 22 23:50:02 2023 GMT
        Next Update: Aug 24 02:50:02 2023 GMT
        CRL extensions:
            X509v3 CRL Number: 
                1846
            X509v3 Authority Key Identifier: 
                keyid:5B:6A:73:E9

И к нему дельта:

Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: 1.2.398.3.10.1.1.1.2
        Issuer: C = KZ, CN = \D2\B0\D0\9B\D0\A2\D0\A2\D0\AB\D2\9A \D0\9A\D0\A3\D3\98\D0\9B\D0\90\D0\9D\D0\94\D0\AB\D0\A0\D0\A3\D0\A8\D0\AB \D0\9E\D0\A0\D0\A2\D0\90\D0\9B\D0\AB\D2\9A (GOST)
        Last Update: Aug 22 23:50:02 2023 GMT
        Next Update: Aug 23 14:25:01 2023 GMT
        CRL extensions:
            X509v3 Delta CRL Indicator: critical
                1846
            X509v3 CRL Number: 
                44911
            X509v3 Authority Key Identifier: 
                keyid:5B:6A:73:E9

Значения в Last Update (так OpenSSL называет “This Update”) идентичны.

Это приводит к странной ситуации: в дельте присутствуют серийные номера сертификатов отозванных после даты создания этой дельты.

vsenko · 28.08.2023 13:13:30

Подскажите, пожалуйста, есть ли вероятность того, что ситуация будет исправлена?

SAAAAAAM · 29.08.2023 05:52:30

Но даже для базового CRL thisUpdate принято указывать с запасом, поэтому такие номера всегда могут встречаться. Вы нашли такой запрет в RFC?

vsenko · 29.08.2023 07:04:24

В RFC такого запрета в явном виде нет, но в RFC много чего в явном виде нет.

С другой стороны:

5.1.2.4. This Update
This field indicates the issue date of this CRL. thisUpdate may be encoded as UTCTime or GeneralizedTime.

То есть thisUpdate указывает на время издания CRL. В текущей реализации дельт это явно не так.

Плюс это ломает описанный в RFC механизм определения “самой текущей дельты”, так как у них всех идентичные thisUpdate:

5.2.4. Delta CRL Indicator
…
If more than one current delta CRL for a given
scope is encountered, the application SHOULD consider the one with
the latest value in thisUpdate to be the most current one.

vsenko · 12.09.2023 13:54:20

Подскажите, пожалуйста, есть ли вероятность того, что у дельт thisUpdate станет актуальным? Либо нужно адаптироваться к текущему положению дел?