CRL или OCSP для автономного центра сертификации и пользователей Android
Какой из них легче использовать?
Интересно, есть ли простое, но надежное решение для того, чтобы мои пользователи (телефоны Android) могли проверить, не отозван ли сертификат другого пользователя? После чтения в сети я все еще не понимаю, лучше ли использовать CRL, OCSP или другие методы.
• Приложение может иметь около 10 000 пользователей. • Сертификаты, используемые в приложении, подписаны нами. У нас есть довольно простой центр сертификации, которому доверяет приложение. Я предпочитаю не переходить на временные решения, где обратная совместимость может быть дорогой позже, когда мы внедрим лучшее решение.
1 ответ
Я не хочу давать ответ, но хочу дать комментарий, потому что я не проверял ваш аналогичный сценарий. Но поскольку мне не хватает репутации, чтобы комментировать, я высказываю свое мнение в ответ. Итак, скромная просьба, если вам не нравится мой комментарий, пожалуйста, не голосуйте за меня.
В любом устройстве CRL должен быть проще в реализации и дает меньше проблем. Зачем? Потому что ответ OCSP должен быть подписан аппаратным / программным токеном. Поэтому, когда одновременно 5000 пользователей запрашивают проверку ocsp, аппаратный / программный токен должен обрабатывать это посредством многопоточности. И, конечно, будет ограничение на количество запросов / ответов. С другой стороны, CRL может быть уже подписан и сохранен в базе данных / файле и возвращен пользователю. Таким образом, в этом случае даже 50000 пользователей запрашивают CRL одновременно. Я протестировал 1000 запросов на CRL, который работает безупречно, и одновременно можно обрабатывать только 300 запросов OCSP.
Но есть одна вещь. В большинстве случаев пользователи хотят получить текущий статус сертификата. В этом случае OCSP является более эффективным и предпочтительным для большинства людей. Кроме того, CRL требуется работник для периодического обновления.