哪一个更容易使用?
我想知道是否有一种简单而持久的解决方案可以让我的用户(Android 手机)能够验证其他用户的证书是否未被吊销。在网上阅读后,我仍然很困惑,如果执行 CRL、OCSP 或其他方法更好。
• 该应用程序可能有大约 10 000 个用户。• 应用程序中使用的证书由我们签名。我们自己有一个应用程序信任的相当简单的证书颁发机构。我不喜欢使用临时解决方案,因为以后我们实施更好的解决方案时向后兼容性可能会很昂贵。
问问题
614 次
1 回答
1
我不想给出答案,而是发表评论,因为我没有测试过你的类似场景。但由于我没有足够的声誉来发表评论,我在回答中给出我的意见。所以,一个谦虚的请求,如果你不喜欢我的评论,请不要给我投反对票。
在任何设备中,CRL 都应该更容易实现并且麻烦更少。为什么?因为,OCSP 响应必须由硬件/软件令牌签名。因此,当一次有 5000 个用户请求 ocsp 验证时,硬件/软件令牌需要通过多线程处理。当然,处理请求/响应的数量会有限制。另一方面,CRL 可以已经签名并存储在数据库/文件中,然后将其返回给用户。因此,在这种情况下,即使是 50000 个用户一次请求 CRL。我测试了 1000 个 CRL 请求,它们可以完美运行,同时只能处理 300 个 OCSP 请求。
但是,有一件事。大多数情况下,用户希望获得当前的证书状态。在这种情况下,OCSP 对大多数人来说更有效和更可取。此外,CRL 需要工作人员定期更新。
于 2015-01-22T09:17:29.090 回答