Door Anoniemals je revocation niet checkt dan klopt het hele model waar
ssl op is gebaseerd niet meer...
Vergeet niet dat de oudere Internet browsers geen SSL CRL checks deden. Dat was standaard uitgezet. J emoest het als gebruiker expliciet aanzetten in de settings (ophalen van een CRL kost tijd en dat gaat ten koste van de 'browse experience').
Door dim
[...]
En hoe worden de revocation servers gecontroleerd? :) Ik zie
bijna altijd gewoon http:// in de URLs ervan; gesteld dat je
de DNS overneemt, dan zijn de CRL's ook eenvoudig te spoofen...
Het spoofen van een crl is een stuk lastiger dan je denkt. Een crl wordt nml ook digitaal ondertekend door de CA. Dus je moet ook nog eens te maken hebben met een vulnerable CA keypair.