我想获取在 Android 设备上下载的所有已撤销证书列表的列表?我知道这个类允许您检查证书是否被吊销,但我想获得吊销证书的整个列表。可能吗?Android 是存储这样的列表还是使用 OCSP 来检查证书?
问问题
2238 次
1 回答
4
看起来 Android 不存储证书吊销列表(或者至少如果它存储了,那么它就不会使用它)。几年前有一个reddit 线程提出了这个问题并讨论了它的优缺点,但它的本质是如果你去https://revoked.grc.com/(如果您的浏览器检查已撤销的证书)在移动 Chrome 上,您将收到通知,您的浏览器不会检查已撤销的证书。
从上面的页面(revoked.grc.com,除非您使用没有 CRL 的浏览器,否则您应该无法看到该页面):
移动 Android 平台目前不提供自己的证书撤销检查,因此 Android 应用程序(包括谷歌 Chrome 浏览器的所有用户)容易受到恶意证书滥用的影响。今天安全使用 Android 的唯一方法是使用 Firefox,它带来了自己的证书安全性。
我发现了另外几个来源(同样是几年前的,但它们似乎仍然相关并且准确地描述了当前情况):
关于缺少 CRL 的 Chromium 问题,其中一位开发人员声明不会添加它并提出理由:
标记此 WontFix 有两个原因:
1) 撤销检查是 Android 和相关 SSL API 的责任。Android 本身没有也从未执行过撤销检查 [...]
2) 撤销检查通常不起作用(作为一项安全功能),尤其是对于移动设备,会极大地影响性能(负面)和隐私(负面)
于 2018-11-12T15:23:09.940 回答