3.1.1.2 - Spärrkontroller
Spärrkontrollen i korthet
Spärrkontrollen i Common använder sig av både CRL:er (Certificate Revocation List) och OCSP (Online Certificate Status Protocol) för att avgöra om ett certifikat ska förklaras som giltigt, protokollen används i samspel med varandra för att ge ett stabilt system för spärrkontroller. För att avgöra statusen på ett certifikat används antingen CRL eller OCSP som primär källa, det andra protokollet används som fallback och påkallas ifall den primära källan inte ger ett tillförlitligt svar. Det protokoll som används vid fallback bestäms av den specifika applikationens konfiguration. Om varken CRL eller OCSP kan ge ett tillförlitligt svar på revokeringsstatus blir resultatet en UNDETERMINED_REVOCATION_STATUS.
Spärrkontroller med OCSP
Spärrkontroller med OCSP görs i första hand med direktuppslag mot OCSP-respondern. Informationen kring vilken responder det är som ska anropas hämtas direkt från certifikatet som kontrolleras. Om direktuppslaget går bra lagras revokeringsstatusen för certifikatet i Redis-cachen. Misslyckas direktuppslaget mot OCSP-respondern konsulteras istället Redis-cachen.
När giltigheten för ett certifikat kontrolleras hämtas OCSP-data via direktuppslag eller från cachen vid behov, datat tillhandahålles till en instans av CertPathValidator som utvärderar certifikatet och returnerar revokeringsstatus.
I fallen där revokeringsstatus inte går att avgöra med hjälp av OCSP går applikationen över till CRL för att försöka få en revokeringsstatus därigenom.
Spärrkontroller med CRL
Spärrkontroller med CRL görs enbart med uppslag mot en Redis-cache där spärrlistor lagras. Cachen fylls i sin tur på av ett bakgrundsjobb som hämtar spärrlistor utifrån ett konfigurerat intervall. De listor som hämtas av jobbet avgörs utifrån de certifikatsutfärdare som är inlästa i den aktuella applikationen samt av en konfigurerbar lista URL:ar som är konfigurerade för att också hämtas. Kriteriet för att spärrlistan/spärrlistor skall bli inlästa i cachen är att:
- Deras signaturer kan verifieras av någon betrodd certifikatsutfärdare.
- eller att sökvägen till spärrlistan finns angiven i konfigurationen för den specifika applikationen
När giltigheten för ett certifikat kontrolleras konsulteras cachen för matchande X509CRL-objekt från de tidigare hämtade spärrlistorna, datat tillhandahålles till en instans av CertPathValidator som utvärderar certifikatet och returnerar revokeringsstatus.
I fallen där revokeringsstatus inte går att avgöra med hjälp av CRL:er går applikationen över till OCSP för att försöka få en revokeringsstatus därigenom.
Fallback-mekanismer
Logiken för spärrkontroller är utformad för att kunna hantera en mängd onormala scenarion så som driftstörningar, tömda Redis-cachear, mm. för att i nästan alla lägen kunna ge en revokeringsstatus. Ett exempel på hur ett sådant flöde skulle kunna se ut är som följer:
- Certifikatets giltighet ska kontrolleras mot OCSP-respondern. OCSP-respondern kan inte ge ett svar på grund av driftstörningar.
- OCSP-cachen konsulteras men här finns ingen matchande revokeringsstatus för det aktuella certifikatet.
- Under tiden har CRL-jobbet försökt att hämta nya spärrlistor men misslyckats på grund av driftstörningar.
- Fallbacken mot CRL aktiveras och CRL-cachen konsulteras. Cachen hittar en matchande spärrlista och kan därigenom avgöra revokeringsstatusen för certifikatet.
- Som sista led kan spärrkontrollen helt inaktiveras (ej rekommenderat annat än vid kris)
Konfiguration av Spärrkontrollen
| Egenskap | Defaultvärde | Exempelvärde | Förklaring |
|---|---|---|---|
inera.common.trust.do-revocation-check | true | true | Avgör ifall spärrkontroller ska genomföras. |
inera.common.trust.no-fallback | ej definierat, resulterar i false | false | Avgör om fallback-tekniken ska användas när revokeringsstatus inte kan avgöras med hjälp av den primära källan. Exempelvis ifall ingen revokeringsstatus kunde avgöras med hjälp av OCSP ifall applikationen ska falla tillbaka till CRL:erna eller vice versa. |
| inera.common.trust.only-end-entity | ej definierat, resulterar i false | true | Avgör ifall enbart "sista" certifikatet (ex. slutanvändarcertifikatet) i certifikatskedjan ska genomgå spärrkontrollen. |
| inera.common.trust.prefer-crls | ej definierat, resulterar i false | false | Avgör ifall CRL ska användas som primär källa för revokeringsstatus. |
| inera.common.trust.soft-fail | ej definierat, resulterar i false | false | Avgör ifall revokeringskontrollen kan anses som lyckad ifall revokeringsstatusen inte kan avgöras p.g.a. exempelvis nätverksfel. När flaggan är satt till false kan revokeringsstatusen resultera i UNDETERMINED_REVOCATION_STATUS. |
| inera.common.trust.allow-undetermined | ej definierat, resulterar i false | false | Avgör ifall ett certifikat som fått revokeringsstatusen UNDETERMINED_REVOCATION_STATUS ska anses som giltigt eller inte. Har endast effekt ifall inera.common.trust.soft-fail är satt till false. |
| inera.common.trust.max-path-length | 10 | 10 | Max antalet certifikat som får finnas i en certifikatskedja |
| inera.common.trust.use-only-cached-revocation-data | ej definierat, resulterar i false | false | Avgör ifall revokeringskontrollen ska genomföras ifall ingen revokeringsstatus finns tillgängligt för certifikatet. |
| inera.common.trust.dynamically-sort-fallback-order | ej definierat, resulterar i false | false | Avgör ifall prioritetsordningen på cachead revokeringsstatus ska sorteras dynamiskt. Förutsätter att inera.common.trust.no-fallback är satt till false. |
| inera.common.trust.verifier.enable-explicit-ocsp-lookup | true | true | Avgör ifall OCSP data ska hämtas i förväg och komplettera befintlig data innan revokeringskontrollen ska genomföras |
| inera.common.revocation-check-executor.only-end-entity | false | false | Avgör ifall enbart slutanvändarcertifikatet ska kontrolleras i RevocationCheckExecutor-klassen. |
| inera.common.ocsp-data-service.enable-cache | false | true | Avgör ifall revokeringsdata ska sparas till cachen och hämtas från cachen ifall direktuppslag mot OCSP-respondern misslyckas. |
inera.common.crl-data-service.max-age-seconds | null | 259200 | Anges i sekunder. Avgör maximala livslängden på cachen för CRL:er innan dom anses för gamla. |
| inera.common.crl-data-service.use-old-crls | false | false | Avgör ifall utgångna CRL:er ska användas för spärrkontroll. Utgångstiden styrs av inera.common.crl-data-service.max-age-seconds |
inera.common.crl-data-service.local-cache-ttl-seconds | 1800 | 1800 | Anges i sekunder. Avgör hur länge minnescachen är giltig innan minnescachen behöver uppdateras med uppgifter från Redis-cachen. Prestandahöjande funktion som används för att minska antalet slagningar mot Redis-cachen. |
| inera.common.crl-data-job.fixed-rate-millis | ej definierat | 1800000 | Anges i millisekunder. Avgör frekvensen med hur ofta CRL-jobbet ska köras. |
| inera.common.crl-data-job.end-entity-crl-urls | ej definierat, resulterar i tom lista | http://crl1pp.siths.se/testsithseidpersonhsaid3cav1.crl, \ | Anges som kommaseparerad lista. Avgör vilka extra CRL:er som ska hämtas utöver de CRL:er som återfinns i applikationens inlästa certifikatsutfärdare. |
Publik Information