วิธีใช้ชุด CRL ของ Chrome (หรือรายการ CRL หลักบางรายการ) เป็นไฟล์ CRL

ฉันกำลังมองหารายการ CRL หลัก สิ่งที่ใกล้เคียงที่ฉันได้พบเป็นโครงการโครเมี่ยมของCRLSets ฉันใช้เครื่องมือ crlsetเพื่อรับ crlset ( crlset fetch > crl-set) จากนั้นทิ้งหมายเลขซีเรียล ( crlset dump crl-set) ดังนั้นฉันจึงเห็นสิ่งนี้:

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

ฉันต้องการผ่านไปยัง openssl หรือ curl (ซึ่งใช้ openssl) ไฟล์ CRL ที่มีรายการหลักของ serials ที่ไม่ดีทั้งหมด ตัวอย่างเช่นแทนที่จะส่งผ่าน crl ของ verisign ฉันต้องการทุกอย่างที่ผ่านมาฉันคิดว่าฉันสามารถทำได้ด้วย crlset แต่ฉันไม่คิดว่ารูปแบบเข้ากันได้ ฉันพยายามopenssl crl -inform DER -text -in crl-setแต่มันพูดว่า:

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

หากใครมีความคิดเห็นเกี่ยวกับวิธีการทำสิ่งที่ฉันกำลังพูดถึงหรือวิธีที่สร้างสรรค์ในการทำสิ่งนี้โปรดแจ้งให้เราทราบ ขอบคุณ

สิ่งนี้อาจเป็นไปไม่ได้อย่างน้อยในรูปแบบที่คุณต้องการ

พิจารณาว่าใน CRLsets ของ Chrome มี (อาจมี) หลายใบรับรองที่ถูกเพิกถอนจากหลาย CA ไฟล์ CRL เดียวซึ่งมีใบรับรองจากหลาย CA นั้นเรียกว่า "ทางอ้อม CRL" CRL ทางอ้อมได้รับการสนับสนุนไม่ดี ดูที่นี่และที่นี่ ; OpenSSL อาจไม่สามารถทำได้

นอกจากนี้เนื่องจาก @bentek กล่าวถึงดูเหมือนว่ารูปแบบ CRLsets จะไม่สามารถใช้งานร่วมกันได้ โดยเฉพาะรูปแบบ CRLsets ไม่มีเขตข้อมูล CRL ที่จำเป็นทั้งหมด ดูRFC 5280 มาตรา 5.1 CRLsets ประกอบด้วยแฮช SHA-256 ของข้อมูลคีย์สาธารณะของหัวเรื่องสำหรับการออกใบรับรองและหมายเลขซีเรียลใบรับรองสำหรับใบรับรองที่ถูกเพิกถอนจากใบรับรองที่ออก มีข้อมูลไม่เพียงพอที่จะสร้างCRL โดยตรง ( เช่นหนึ่งไฟล์ CRL ต่อ CA) หากเราต้องการ IMHO เป็นชื่อที่ขาด / ละเว้นมากที่สุด(DN) ของผู้ออกใบรับรองที่ถูกเพิกถอน CRLsets ทำให้เรามี "ลายนิ้วมือ" (แฮช SHA-256 SPKI) แต่การทำแผนที่ลายนิ้วมือนั้นกับ DN ของใบรับรองที่เป็นปัญหาตามขอบเขตของอินเทอร์เน็ตจะไม่ใช่เรื่องง่าย