我试图弄清楚证书重定位列表如何运作以及它们如何更新。
所以说我的服务器 xyz.com 有一个证书,其 CRL 分发点配置为 myissuer.com/thelist.crl
现在我在连接到 xyz.com 时使用 wireshark 监控了我的网络上的通信,我没有看到任何对 myissuer.com 的调用来获取 CRL。
所以我有两个问题:
对 CRL 分发点的调用实际发生的时间和频率是多少?
如果我手动下载并安装此 CRL 文件,我的客户端是否仍会尝试连接到配置的 CRL 分发点?
问问题
258 次
1 回答
2
对 CRL 分发点的调用实际发生的时间和频率是多少?
浏览器/客户端决定何时请求 CRL。可能是“从不”
如果我手动下载并安装此 CRL 文件,我的客户端是否仍会尝试连接到配置的 CRL 分发点?
通常是的,除非客户端有自己的 CRL 缓存并且 CRL 的生命周期没有过期。
不常见的是客户端咨询系统存储库(例如 Windows 密钥库)以了解是否安装了 crl。请注意,CRL 已过期,因此拥有更新的副本很重要
如果您想优化网站的撤销检查,请参阅 OCSP 装订https://en.wikipedia.org/wiki/OCSP_stapling
于 2018-04-06T10:49:18.530 回答