Spärrkontroller i Common
...
Spärrkontrollen i Common använder sig av både CRL:er (Certificate Revocation List) och OCSP (Online Certificate Status Protocol) för att avgöra om ett certifikat ska förklaras som giltigt. Dessa två sätt att avgöra giltigheten på ett certifikat används i samspel med varandra för att ge ett stabilt system för spärrkontroller. För att avgöra statusen på ett certifikat används antingen CRL eller OCSP som primär källa och det andra sättet blir då per automatik den sekundära källan och agerar som fallback ifall primära källan inte kan ge ett tillförlitligt svar. Innan applikationen hoppar över från primära källan till sekundära källan konsulteras en cache i Redis för att avgöra om en spärrstatus kan avgöras från informationen som finns lagrad därOm sekundära källan ska användas som fallback bestäms av den specifika applikationens konfiguration. Om varken CRL eller OCSP kan ge ett tillförlitligt svar på revokeringsstatus blir resultatet en UNDETERMINED_REVOCATION_STATUS.
Spärrkontroller med CRL
Spärrkontroller med CRL görs enbart med uppslag mot en Redis-cache där spärrlistorna lagras. Cachen fylls i sin tur på av ett jobb som med ett konfigurerat intervall hämtar listorna som innehåller informationen över vilka certifikat som är spärrade certifikat. Vilka listor det är som ska hämtas av jobbet avgörs av vilka utfärdare det är utfärdarna som är inlästa i det aktuella systemet och ifall det finns "extra" listor konfigurerade som ska hämtas. Vi en
Spärrkontroller med OCSP
...
den aktuella applikationen och av en samling URL:er som är konfigurerade för att också hämtas.
När giltigheten för ett certifikat ska kontrolleras konsulteras cachen för matchande X509CRL-objekt från de tidigare hämtade spärrlistorna och matas sedan in i en instans av CertPathValidator varifrån det sedan matas ut en revokeringsstatus.
I fallen då ingen revokeringsstatus kan erhållas med hjälp av CRL:er går applikationen över till OCSP för att försöka få en revokeringsstatus därigenom.
Spärrkontroller med OCSP
Spärrkontroller med OCSP görs i första hand med direktuppslag mot OCSP-respondern. Informationen kring vilken responder det är som ska anropas hämtas direkt från certifikatet som behöver kontrolleras för dess giltighet. Om direktuppslaget går bra lagras revokeringsstatusen för certifikatet i Redis-cachen. Skulle direktuppslaget mot OCSP-respondern inte lyckas konsulteras istället Redis-cachen ifall det finns en användbar revokeringsstatus för det aktuella certifikatet.
När giltigheten för ett certifikat ska kontrolleras hämtas alltså OCSP-data via direktuppslag och från cachen vid behov och matas sedan in i en instans av CertPathValidator varifrån det sedan matas ut en revokeringsstatus.
I fallen då ingen revokeringsstatus kan erhållas med hjälp av OCSP går applikationen över till CRL för att försöka få en revokeringsstatus därigenom.
Fallback-mekanismer
Logiken för spärrkontroller är utformad för att kunna hantera en mängd onormala scenarion så som driftstörningar, tömda Redis-cachear, mm. för att i nästan alla lägen kunna ge en revokeringsstatus. Ett exempel på hur ett sådant flöde skulle kunna se ut är som följer:
- Certifikatets giltighet ska kontrolleras mot OCSP-respondern. OCSP-respondern kan inte ge ett svar på grund av driftstörningar.
- OCSP-cachen konsulteras men här finns ingen matchande revokeringsstatus för det aktuella certifikatet.
- Under tiden har CRL-jobbet försökt att hämta nya spärrlistor men misslyckats på grund av driftstörningar.
- Fallbacken mot CRL aktiveras och CRL-cachen konsulteras. Cachen hittar en matchande spärrlista och kan därigenom avgöra revokeringsstatusen för certifikatet.
Konfiguration av Spärrkontrollen
...