Frage zu Klausur SS13 A3 e)

sab
Mausschubser
Mausschubser
Beiträge: 97
Registriert: 28. Okt 2011 08:42

Frage zu Klausur SS13 A3 e)

Beitrag von sab »

Hallo,

in der Klausur SS13 A3 wird in e) gefragt:
Nehmen sie nun an, das “Retention Interval“ des OCSP Servers beträgt 5 Tage. Ein Client fragt den OCSP Server am 07.02.2014 nach dem Status von Zertifikat D. Wie lautet die Antwort des OCSP Servers. Erläutern Sie wie diese Antwort zustande kommt.
Als Lösungsvorschlag ist angegeben, dass die Antwort des OCSP Servers "good" sei. Könnte sie aber auch "unknown" sein?
In den Folien heißt es zu den Antworten:
Foliensatz 07, PDF-Seite 49 / Folie 51 hat geschrieben: Possible responds (basic version):
  • - Unknown (nothing known about the certificate, e.g. issuer unknown)
    - Revoked (certificate revoked or MAY not exist)
    - Good (no such certificate is within its validity period and is revoked) Caution: Good means that the certificate is not revoked, but it may be expired or even not exist at all.
Da das Zertifikat gelöscht wurde, weil es am 31.12.2013 abgelaufen ist und das retention interval bei 5 Tagen liegt, könnte die Antwort doch auch "unknown" sein, da nichts über das Zertifikat (mehr) bekannt ist. Oder ist die Antwort "good", weil mal irgendetwas über das Zertifikat bekannt war und der Issuer bekannt ist?

Danke schonmal!

Edit: Sorry, habe die Frage doppelt eingestellt. Da ging mir wohl der POST nicht schnell genug.

Benutzeravatar
mmi1991
Computerversteher
Computerversteher
Beiträge: 349
Registriert: 20. Okt 2011 18:46
Wohnort: Hattersheim

Re: Frage zu Klausur SS13 A3 e)

Beitrag von mmi1991 »

Antwort nach bestem Wissen und Gewissen :D

Die Antwort ist Unknown, wenn der Issuer nicht bekannt ist.
Die Antwort ist Revoked, wenn bekannt ist, dass das Zertifikat revoked ist.
Das Retention Interval ist ja 5 Tage. Nach Ablauf von 5 Tagen nach der Revokation wird also die Information, dass das Zertifikat revoziert wurde, gelöscht. Der OCSP-Server hat danach keine Ahnung davon, ob das Zertifikat je existiert hat oder ob nur die Information über die Revokation schon gelöscht wurde. In dem Fall antwortet er "good", wenn er den Issuer kennt und das Zertifikat nicht in seiner Revokationsliste findet.
Du kannst also nach der Seriennummer 1337 des Issuers CA1 fragen und würdest Good bekommen, weil darüber einfach keine Informationen vorliegen.

Die Folien sind da tatsächlich nicht so gut gemacht…
Zuletzt geändert von mmi1991 am 12. Jul 2014 20:47, insgesamt 1-mal geändert.
Ophasentutor SoSe 2014, WiSe 2015/16
Alle Angaben wie immer ohne Gewähr

sab
Mausschubser
Mausschubser
Beiträge: 97
Registriert: 28. Okt 2011 08:42

Re: Frage zu Klausur SS13 A3 e)

Beitrag von sab »

Danke! Ich habe es auch eben noch im Buch nachgelesen, allerdings ist es dort auch nicht klarer. Aber das was du sagst klingt ganz vernünftig, sollte es nochmal zu so einer Aufgabe kommen, werde ich mich an diese Regel halten ;)

Antworten

Zurück zu „Archiv“