Dajbych.net


Častější obměna seznamu neplatných certifikátů

, 1 minuta čtení

Cer­ti­fikační au­tor­ity vy­dá­vají sez­nam kom­promi­to­vaných cer­ti­fikátů. Ten se do Win­dows dis­tribuo­val jed­nou za čas přes Win­dows Up­date. Ak­tu­al­izace sys­tému (KB2677070) upravuje Win­dows Up­date tak, že stahuje tento sez­nam mno­hem častěji. In­for­mace o zne­plat­něném cer­ti­fikátu se tak dostane na kon­covou stanici do jed­noho dne. Pro­tože se však mění kon­tak­tní URL Win­dows Up­date, je nutné se přesvědčit, že fire­wall tuto funkčnost neblokuje.

In­ter­net Ex­plorer od verze 7 pro Win­dows Vista pod­poruje pro­tokol OCSP, který se dotazuje, jestli je X.509 cer­ti­fikát použitý během nava­zování SSL či TLS spo­jení stále platný. IIS tento pro­tokol pod­poruje také. Ovšem .NET Frame­work při nava­zování zabezpečeného spo­jení tuto kon­trolu nedělá. Proto .NET ap­likace měly poměrně zas­taralý CRL (sez­namem ne­plat­ných cer­ti­fikátů).

Win­dows tuto prob­lematiku řeší cen­trálně přes častější dota­zování Win­dows Up­date na změny v CRL. Aby vše fun­go­valo jak má, je potřeba se přesvědčit, že vaším fire­wallem pro­j­dou poža­davky na tyto URL:

http://ctldl.win­dow­sup­date.com/ms­down­load/up­date/v3/static/trust­edr/en/disal­lowed­cert­stl.cab

http://ctldl.win­dow­sup­date.com/ms­down­load/up­date/v3/static/trust­edr/en/au­th­root­stl.cab

Článek byl sep­sán pro Tech­Net Blog CZ/SK.