Связано ли событие синхронизации времени Kernel-General с использованием ЦП?
Мы работаем с 6 серверами SQL 2008 года на Windows Server 2008 R2, 4 из которых загружали ЦП примерно на 50% + во время пиковой нагрузки. В среду ЦП на 2 из этих 4 серверов упал на 20%, а производительность нашей производственной службы значительно выросла.
Я не вижу непосредственной причины для такого снижения использования ЦП, но в средстве просмотра событий отображается сообщение «Ядро». -General "событие в тот момент, когда загрузка ЦП снизилась на обоих серверах. Сообщение было: «Системное время изменилось на 2017 - 11 - 29T14: 56: как вы должны узнать, какое точное значение должно быть для ваших центров сертификации? В случае letsencrypt они предоставляют документ здесь , в котором упоминается, что их идентификатор проблемы - letsencrypt.org , и что он также задокументирован в их Заявлении о практике сертификации раздел 4.2.1. Если я проверю сертификат, я вижу в нем различные поля, однако ни одно из них не соответствует этой строке в точности, хотя есть такие, которые содержат его. Это не кажется строгим или надежным способом гарантировать, что CA соответствует тому, что находится в записи CAA - например, что мешает ему соответствовать letsencrypt.org.evilcorp.com ?
Это все работает с человеческой точки зрения, но не очень машиночитаемо и является уникальным для этого CA.
У меня также есть сертификаты от Comodo, и я нашел различные неавторитетные источники, в которых говорится, что их идентификатор проблемы CAA - comodoca.com (и другие говорят, что это comodo.com ), но я не нашел официального документа, подобного letsencrypt, для этого. Строка comodoca.com действительно появляется в некоторых полях моего сертификата, но не в контексте, который я ожидал бы надежно найти - например, имя эмитента COMODO ECC Domain Validation Secure Server CA (COMODO CA Limited из Великобритании) , CRL - http://crl.comodoca.com/COMODOECCDomainValidationSecureServerCA.crl , а URI OCSP - http: //ocsp.comodoca. com .
SSLMate имеет генератор записей CAA и включает в себя список центров сертификации и их идентификаторов эмитентов, но откуда эта информация была получена?
Теперь рассмотрим случай проверки - с учетом сертификата и одного или больше идентификаторов CAA издателя, какие элементы в сертификате должны точно соответствовать эмитенту CAA? Или эта информация получена из какой-то другой службы, например журнала CT?
Итак, вкратце, откуда должны быть получены идентификаторы CAA издателя и как они должны быть надежно проверены?
Соответствующий RFC 6844 не требует какого-либо стандарта для эмитента, напротив, он предоставляет почти полную свободу:
Семантика параметров эмитента такова. определяется эмитентом в одиночестве.
Но сделаем шаг назад: насколько мне известно, записи CAA не предназначались для использования конечными пользователями для проверки того, выпущен ли полученный ими сертификат TLS правильным издателем сертификата.
Он был предназначен для использования только (авторитетным) издателем сертификатов для проверки того, что им разрешено выдавать (новый) сертификат для этого хоста / домена.
Только издатель сертификата должен проверить, присутствует ли то, что он ожидает / требует, в записи CAA, если запись CAA существует.
Эмитент вашего сертификата, то есть ваш центр сертификации, должен будет сообщить, какие домены они распознают, в записях о проблемах CAA. А также какие, если есть, другие параметры, которые им требуются.
Например: Comodo,который использует comodo.com в качестве своего сетевого бренда, может совершенно бесплатно распознать совершенно другой домен comodoca.com в записях CAA. На самом деле центры сертификации также не ограничиваются распознаванием только одного домена - Comodo, например, распознает четыре разных : comodo.com , comodoca.com , usertrust.com и trust-provider.com
Примечание. Записи CAA используются только при выдаче сертификата. Обратный инжиниринг того, что должна быть запись CAA из уже выданных действительных сертификатов, не имеет непосредственной цели.
Откуда следует получить идентификаторы CAA издателя?
Насколько я знаю, нет ничего, что можно было бы легко автоматизировать что касается этого, но для ручного подхода: Форум CA / браузера требует единого местоположения для публикации этой информации:
"Действует с 8 сентября 2017 г., раздел 4.2 политики CA в отношении сертификатов и / или сертификации Практика
Заявление ДОЛЖНО излагать политику или практику СА в отношении
обработка записей CAA для полностью определенных доменных имен; эта политика должна соответствовать этим
Требования. Он должен четко указывать набор доменных имен эмитента, которые CA распознает в CAA « проблема » или
" Issueewild " записи, разрешающие его выпуск. "