[devel] X509v3: CRL Distribution Points: help is needed

[Paul Wolneykien]

08.08.2018 19:33, Alexey V. Vissarionov пишет:
> On 2018-08-08 18:43:25 +0300, manowar на altlinux.org wrote:
>  > Вот как выглядит в разобранном виде та часть файла подписи,
>  > которая отвечает за CRL: [...]
>  > Теперь, собственно, сам вопрос: структура выше соответствует
>  > двум разным CRL?
> 
> Нет - это один CRL, для которого предусмотрена возможность взять
> его как с локального зеркала (pki-lan), так и снаружи у ГРЧЦ.
> 
>  > или же это всё-таки два варианта получения одного и того же CRL?
> 
> Да.
> 
>  > Иными словами, что перед нами: два объекта типа DistributionPoint
>  > или же две строки, относящиеся к одному такому объекту?
> 
> Это два места, откуда можно взять один и тот же CRL.

  Ммм. А ты можешь всё-таки как-то это аргументировать? Я вижу две ветки
SEQUENCE в каждой из которых по три поля: [0](1 elem), [0](1 elem)
(кажется, это те самые "reasons" и "cRLIssuer") и [6]строка. Собственно,
ты сам пишешь:

> ...
> Список из двух списков, в каждом из которых по одному элементу.

По одному. Следовательно, это не похоже на случай: "If the
DistributionPointName contains multiple values,...". Или всё-таки похоже?

>> В пользу последнего как будто бы говорит его официальный статус
>  > УЦ.
>
> Главное - в их пользу явно гласит стандарт.

Вот какой стандарт: RFC 3280? или сложившаяся практика обработки CRL?
Мне пока что интересно только одно: как результат ASN.1 разбора данного
файла соотносится с данным RFC, п. 4.2.1.14. Дальше видно будет.