Digivirasto/CRL

Kohteesta DigiWiki
< Digivirasto
Versio hetkellä 17. maaliskuuta 2021 kello 19.30 – tehnyt KIVINEN TERO 133366417 (keskustelu | muokkaukset)
Siirry navigaatioon Siirry hakuun

Certificate Revocation List on varmenteen tilan kyselyyn tarkoitettu yhteyskäytäntö. Sulkulista sivulta löytyy yleisempää tietoa siitä.

Digiviraston tarjoamat CRL palvelut

Kaikissa dvv:n varmenteissa on mukana tiedot mistä sulkulistat löytyvät. Itse sulkulistoja päivitetään samalla tavalla kuin OCSP tietojakin.

Eli alla olevissa esimerkeissä näkyy että G1 henkilökorttien This Update sulkulista on luotu vähän ennen tasatuntia ja G2 henkilökorttien lista vuorostaan pari minuuttia tasatunnin jälkeen.

G1: VRK Gov. Root CA

Intermediate CA:ssa on ARL (Authority Revocation List) tiedot:

openssl x509 -in certs/vrkcqc2.pem -text -noout
Certificate:
...
            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://proxy.fineid.fi/arl/vrkroota.crl
...

Itse ARL:n voi hakea seuraavasti ja näyttää sen ruudussa:

wget -q -O- http://proxy.fineid.fi/arl/vrkroota.crl | openssl crl -inform der -text -noout
Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = FI, ST = Finland, O = Vaestorekisterikeskus CA, OU = Certification Authority Services, OU = Varmennepalvelut, CN = VRK Gov. Root CA
        Last Update: Dec  4 07:33:15 2020 GMT
        Next Update: Dec  4 07:33:15 2021 GMT
        CRL extensions:
            X509v3 Authority Key Identifier: 
                keyid:DB:E9:E1:9B:D2:D1:24:0B:FC:AB:E3:A0:67:EA:AE:9C:4B:77:F4:B0

            X509v3 Issuing Distribution Point: 
                Only CA Certificates

            X509v3 CRL Number: 
                36
Revoked Certificates:
    Serial Number: 01A657
        Revocation Date: May  6 08:23:06 2019 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code: 
                Cessation Of Operation
    Signature Algorithm: sha256WithRSAEncryption
         99:84:81:14:51:0a:e1:fd:e7:68:09:a5:f8:cb:83:88:6a:66:
         40:f6:19:b9:26:38:89:e5:63:f3:a5:27:ec:72:63:b0:a2:bb:
         92:eb:d1:0b:59:b5:1d:72:1a:b4:57:42:cd:e7:e5:a7:a5:62:
         ad:98:11:8e:c8:62:e8:fe:68:0b:76:9d:3e:34:4b:92:4c:c3:
         5b:17:68:02:76:fb:80:11:22:fe:40:9d:5d:8f:9f:3a:f4:e0:
         15:31:e0:31:51:70:a7:54:05:af:77:14:fe:a8:e4:b0:f7:ec:
         56:21:f2:c0:86:37:7d:8e:1a:f1:91:57:53:5f:cb:9f:57:57:
         8d:d2:6f:fe:6b:bf:64:4f:b8:64:c5:13:0f:f0:01:d1:33:b7:
         ad:16:d7:62:ce:35:8f:1d:71:40:35:7d:36:94:11:08:dd:89:
         74:74:63:77:41:cc:57:e3:c0:4d:89:8c:16:5f:0b:00:a5:1f:
         c1:4e:f8:ca:c8:81:72:d8:48:74:b2:7a:68:ad:43:7e:c9:e9:
         9d:ce:f6:e9:f3:90:d5:56:81:ee:9d:77:50:51:5f:f0:be:d3:
         32:40:ca:38:ee:80:be:b0:f7:cf:4c:9a:de:28:b4:0f:38:f5:
         23:3f:6f:60:fa:06:00:9c:f4:70:02:23:61:9a:e4:cb:c3:41:
         cc:f8:54:a6

Vastaavat tiedot henkilövarmenteesta:

openssl x509 -in certs/cert1.pem -text -noout
Certificate:
...
            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://proxy.fineid.fi/crl/vrkcqc2c.crl

...

Ja CRL:n voi hakea ja näyttää siitä alusta ensimmäiset 20 riviä:

wget -q -O- http://proxy.fineid.fi/crl/vrkcqc2c.crl | openssl crl -inform der -text -noout | head -20
Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = FI, O = Vaestorekisterikeskus CA, OU = Valtion kansalaisvarmenteet, CN = VRK Gov. CA for Citizen Qualified Certificates - G2
        Last Update: Mar 17 18:59:13 2021 GMT
        Next Update: Mar 18 02:59:13 2021 GMT
        CRL extensions:
            X509v3 Authority Key Identifier: 
                keyid:C1:AF:1D:8A:5F:1D:9A:87:0D:82:10:FC:9D:DD:F5:B0:1E:70:D3:B5

            X509v3 CRL Number: 
                64641
Revoked Certificates:
    Serial Number: 3BB94E81
        Revocation Date: Dec 23 12:25:27 2016 GMT
    Serial Number: 3BB94E8C
        Revocation Date: Dec 23 12:25:12 2016 GMT
    Serial Number: 3BB94E8D
        Revocation Date: Dec 23 12:26:15 2016 GMT
    Serial Number: 3BB94E8E

Kyseinen tiedosto on aika iso (melkein 3MB tällä hetkellä) ja sisältää tällä hetkellä yli 282 000 riviä tekstiä, eli yli 122 000 varmennetta on laitettu sulkulistalle.

G2: VRK Gov. Root CA - G2

Uudessa G2 varmenteissa tiedot ovat muuten samat, mutta urlit ovat hieman erilaisia:

openssl x509 -in certs/vrkcqc3.pem -text -noout
Certificate:
...
            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://proxy.fineid.fi/arl/vrkroot2a.crl
...
wget -q -O- http://proxy.fineid.fi/arl/vrkroot2a.crl | openssl crl -inform der -text -noout
Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: sha512WithRSAEncryption
        Issuer: C = FI, O = Vaestorekisterikeskus CA, OU = Certification Authority Services, OU = Varmennepalvelut, CN = VRK Gov. Root CA - G2
        Last Update: Jun 15 07:44:43 2020 GMT
        Next Update: Jun 15 07:44:43 2021 GMT
        CRL extensions:
            X509v3 Authority Key Identifier: 
                keyid:D1:A7:08:16:07:9E:E9:BD:4E:D3:D7:20:53:96:59:06:27:D7:88:4D

            X509v3 Issuing Distribution Point: 
                Only CA Certificates

            X509v3 CRL Number: 
                4
No Revoked Certificates.
    Signature Algorithm: sha512WithRSAEncryption
         65:a4:99:5a:6f:64:24:c9:19:92:e4:bc:42:ae:51:34:85:e2:
         4c:0d:85:90:c6:3b:b8:46:dc:d2:09:ee:b9:2e:22:3b:bb:09:
         33:bf:0e:58:93:12:ad:33:ce:88:ce:d0:1e:31:1d:dd:31:de:
         c2:24:5b:30:61:e3:5e:05:a9:c5:c2:86:ea:f7:01:4a:17:ff:
         46:23:af:06:48:93:6b:ac:09:7f:68:9a:5d:b0:fa:44:b4:02:
         92:9b:86:c4:38:bd:58:f1:be:90:90:22:30:97:ac:09:fd:97:
         c8:a7:ea:bf:bb:ad:61:e4:d3:da:6d:22:d5:b1:e8:ac:61:99:
         8b:40:b7:56:f1:f1:ca:cb:48:41:fd:d1:ab:dd:55:2c:00:0a:
         1a:58:22:d9:b0:10:c5:d5:c9:23:3c:24:e5:ba:fa:d9:50:98:
         56:6a:17:8a:79:7a:28:47:94:3c:52:5d:99:5f:1c:5b:db:34:
         a8:13:9d:62:f7:0f:99:37:a8:69:8c:ae:29:41:72:5d:29:90:
         72:a1:5f:71:f4:9d:4d:26:37:cb:db:f6:ee:27:93:eb:a9:c2:
         e5:3b:9e:7e:43:36:f5:34:05:77:3b:dc:65:01:af:48:86:78:
         3e:82:69:df:ea:62:c0:1f:35:27:f8:26:52:0a:5b:3b:55:4d:
         c8:30:cf:a7:25:4c:5e:24:05:30:73:d0:4d:b3:46:d6:98:3a:
         0a:26:a8:ca:af:c4:61:98:45:0a:0d:f2:9a:19:61:43:5e:ab:
         13:8b:ac:1f:d0:ca:5f:fb:6e:f2:5c:5b:f5:f2:20:50:2f:bb:
         df:ee:82:94:d6:db:34:c6:d4:e8:fb:2a:d3:dc:66:a3:8d:c6:
         ca:d8:96:1d:14:d0:96:e1:ef:4b:2a:45:13:31:75:51:15:fc:
         73:4e:e4:7a:21:f1:3a:ba:b8:64:65:94:42:e7:8a:d5:89:9e:
         9c:57:a0:b3:62:9c:3f:64:07:36:1a:0d:08:76:81:8d:0c:8d:
         bd:a2:47:b9:32:41:ec:31:8c:ea:98:79:af:07:ea:86:05:b4:
         e4:a3:bb:ae:2a:b5:59:bb:13:aa:7b:8e:10:c5:28:85:84:fe:
         53:45:51:2a:b7:ac:94:da:9e:c8:b9:25:f9:40:62:93:4b:f7:
         53:8a:9b:25:58:b1:89:18:d4:04:76:62:2d:60:85:ba:5a:33:
         fa:be:3d:d6:61:05:30:aa:2a:c8:97:a6:5e:aa:16:90:22:7f:
         93:8a:b4:7a:79:04:9e:e2:71:ff:6c:c8:b6:b6:aa:dd:39:e7:
         e4:df:fd:41:5a:05:86:01:38:3a:91:5b:2d:2c:55:bc:47:d8:
         5f:ce:65:d9:89:cc:2f:29

Vastaavat tiedot henkilövarmenteesta:

openssl x509 -in certs/cert3.pem -text -noout
Certificate:
...
            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://proxy.fineid.fi/crl/vrkcqc3c.crl
...

Ja CRL:n voi hakea ja näyttää siitä alusta ensimmäiset 20 riviä:

wget -q -O- http://proxy.fineid.fi/crl/vrkcqc3c.crl | openssl crl -inform der -text -noout | head -20
Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: sha512WithRSAEncryption
        Issuer: C = FI, O = Vaestorekisterikeskus CA, OU = Valtion kansalaisvarmenteet, CN = VRK Gov. CA for Citizen Certificates - G3
        Last Update: Mar 17 19:01:41 2021 GMT
        Next Update: Mar 18 03:01:41 2021 GMT
        CRL extensions:
            X509v3 Authority Key Identifier: 
                keyid:83:29:6B:5F:FF:C3:EC:F4:3F:48:D5:9A:A5:9E:C9:C6:D8:34:D9:C2

            X509v3 CRL Number: 
                24852
Revoked Certificates:
    Serial Number: 3BE71541
        Revocation Date: May  9 10:54:53 2018 GMT
    Serial Number: 3BE722E1
        Revocation Date: May  9 10:54:53 2018 GMT
    Serial Number: 3BE72621
        Revocation Date: May 16 11:30:00 2018 GMT
    Serial Number: 3BE72F41

Tämäkin tiedosto on jo aika iso (1.5 MB) ja sisältää tällä hetkellä yli 147 000 riviä tekstiä, eli yli 61 000 varmennetta on laitettu sulkulistalle.