1

我试图弄清楚证书重定位列表如何运作以及它们如何更新。

所以说我的服务器 xyz.com 有一个证书,其 CRL 分发点配置为 myissuer.com/thelist.crl

现在我在连接到 xyz.com 时使用 wireshark 监控了我的网络上的通信,我没有看到任何对 myissuer.com 的调用来获取 CRL。

所以我有两个问题:

  1. 对 CRL 分发点的调用实际发生的时间和频率是多少?

  2. 如果我手动下载并安装此 CRL 文件,我的客户端是否仍会尝试连接到配置的 CRL 分发点?

4

1 回答 1

2

对 CRL 分发点的调用实际发生的时间和频率是多少?

浏览器/客户端决定何时请求 CRL。可能是“从不”

如果我手动下载并安装此 CRL 文件,我的客户端是否仍会尝试连接到配置的 CRL 分发点?

通常是的,除非客户端有自己的 CRL 缓存并且 CRL 的生命周期没有过期。

不常见的是客户端咨询系统存储库(例如 Windows 密钥库)以了解是否安装了 crl。请注意,CRL 已过期,因此拥有更新的副本很重要


如果您想优化网站的撤销检查,请参阅 OCSP 装订https://en.wikipedia.org/wiki/OCSP_stapling

于 2018-04-06T10:49:18.530 回答