어느 것이 더 쉽게 사용할 수 있습니까?자체 실행 인증 기관 및 안드로이드 사용자를위한 CRL 또는 OCSP
내 사용자 (Android 휴대 전화)가 다른 사용자의 인증서가 취소되지 않았는지 확인할 수있는 쉽고 튼튼한 솔루션이 있는지 궁금합니다. 그물을 읽은 후에도 CRL, OCSP 또는 다른 방법을 구현하는 것이 더 나은 경우 여전히 혼란 스럽습니다.
• 앱의 사용자 수는 약 10,000 명입니다. • 앱에 사용 된 인증서는 당사에서 서명합니다. 우리는 앱이 신뢰하는 다소 간단한 인증 기관을 가지고 있습니다. 더 나은 솔루션을 구현할 때 이전 버전과의 호환성이 나중에 비쌀 수있는 임시 솔루션을 선호하지 않습니다.
비슷한 시나리오를 테스트하지 않았기 때문에 답을주고 싶지 않지만 의견을 말하고 싶습니다. 그러나 의견을 말하기에 충분한 회귀가 없으므로 나는 대답으로 제 의견을 말하고 있습니다. 그래서, 겸손한 요청, 만약 당신이 내 코멘트를 좋아하지 않는다면, 제발 투표하지 마십시오.
모든 장치에서 CRL은 구현이 쉬워야하며 문제 발생이 적습니다. 왜? 왜냐하면 OCSP 응답은 하드웨어/소프트웨어 토큰에 의해 서명되어야하기 때문입니다. 따라서 한 번에 5000 명의 사용자가 ocsp 유효성 검사를 요청하면 하드웨어/소프트웨어 토큰이 멀티 스레딩을 통해이를 처리해야합니다. 물론 요청/응답 수를 처리하는 데 한계가 있습니다. 반면에 CRL은 이미 서명되어 데이터베이스/파일에 저장되어 사용자에게 다시 제공 될 수 있습니다. 따라서이 경우 한 번에 50000 명의 사용자가 CRL을 요청합니다. 나는 완벽하게 작동하는 CRL에 대한 1000 건의 요청을 테스트했으며 동시에 300 건의 OCSP 요청 만 처리 할 수있었습니다.
하지만 한 가지가 있습니다. 대부분의 경우 사용자는 현재 인증서 상태를 가져 오려고합니다. 이 경우 OCSP는 대부분의 사람들보다 효율적이고 바람직합니다. 또한 CRL은 주기적으로 업데이트하는 작업자가 필요합니다.