29.05.2007 11:31:49Путь до CRL в корневом сертификате Ответов: 2
Максим
Хотелось бы узнать такой момент.
У вас в документации ЖТЯИ.00035-01 90 02 по ПАК "Крипто Про УЦ" приведена такая рекомендация на странице 9:
Для корневого Центра Сертификации рекомендуется не включать расширение CDP в
состав самоподписанного сертификата ЦС. Для этого необходимо сформировать файл
CAPolicy.inf со следующим содержимым:
[Version]
Signature="$Windows NT$"
[CRLDistributionPoint]
URL=""

Могли бы вы объяснить в связи с чем это связано? Ведь, как правило, наоборот требуют наличия в корневом сертификате наличия этого расширения.
 
Ответы:
29.05.2007 11:54:21Василий
Проверять корневой сертификат по списку отозванных сертификатов (СОС), который издан этим же ЦС - бессмысленно.
Поясню.
Если сертификат самого ЦС отозван, то он имеется в СОС. Но, СОС подписан тем же сертификатом ЦС. Поскольку сертификат отозван, нет доверия к любой ЭЦП, созданной на этом сертификате, в частности, к ЭЦП под СОС. Вывод - доверять этому СОС нельзя, следовательно, сертификат нельзя считать отозванным.
Вот и противоречие.
29.05.2007 12:24:13Максим
Спасибо. Все ясно