Dajbych.net


Častější obměna seznamu neplatných certifikátů

, 2 minuty čtení

Cer­ti­fi­kační au­to­rity vy­dá­vají se­znam kom­pro­mi­to­va­ných cer­ti­fi­kátů. Ten se do Win­dows dis­tri­buo­val jed­nou za čas přes Win­dows Up­date. Ak­tua­li­zace systému (KB2677070) upra­vuje Win­dows Up­date tak, že stahuje tento se­znam mno­hem čas­těji. In­for­mace o zne­plat­ně­ném cer­ti­fi­kátu se tak do­stane na kon­co­vou sta­nici do jed­noho dne. Pro­tože se však mění kon­taktní URL Win­dows Up­date, je nutné se pře­svěd­čit, že fi­rewall tuto funkč­nost ne­blo­kuje.

In­ter­net Ex­plo­rer od verze 7 pro Win­dows Vista pod­po­ruje pro­to­kol OCSP, který se do­ta­zuje, jestli je X.509 cer­ti­fi­kát po­u­žitý bě­hem na­va­zo­vání SSL či TLS spo­jení stále platný. IIS tento pro­to­kol pod­po­ruje také. Ovšem .NET Fra­mework při na­va­zo­vání zabez­pe­če­ného spo­jení tuto kon­t­rolu ne­dělá. Proto .NET apli­kace měly po­měrně za­sta­ralý CRL (se­zna­mem ne­plat­ných cer­ti­fi­kátů).

Win­dows tuto proble­ma­tiku řeší cen­t­rálně přes čas­tější do­ta­zo­vání Win­dows Up­date na změny v CRL. Aby vše fun­go­valo jak má, je po­třeba se pře­svěd­čit, že va­ším fi­rewallem pro­jdou po­ža­davky na tyto URL:

http://ctldl.win­dow­sup­date.com/msdown­load/up­date/v3/sta­tic/trus­tedr/en/di­sallowed­cert­stl.cab

http://ctldl.win­dow­sup­date.com/msdown­load/up­date/v3/sta­tic/trus­tedr/en/authro­ot­stl.cab

Člá­nek byl se­psán pro Tech­Net Blog CZ/SK.