LDAP和CRL之间有区别吗？

Question

在公钥基础设施方面？通过LDAP我是指可以使用LDAP协议查询的LDAP服务器公开的公共密钥？ CRL代表证书撤销列表，换句话说，它包含不受信任的证书。这两个协议是否依赖于相同的公钥证书数据库？我在这里有一个CA，宣布它不会继续更新CRL，但他们对LDAP查询的响应似乎是最新的。

Answer 1

• LDAP 是由RFC4511指定的小型轻量级协议。如今，除了协议本身之外，术语 LDAP 还用于引用目录信息树（DIT）

• 证书吊销列表（CRL）是由颁发机构或验证机构撤销的证书序列号列表，因此客户无法可靠地使用

• LDAP通常用作数据存储，用于PKI信息，例如公钥，私钥和证书，实际上擅长此任务

Answer 2

• HTTP是CRL信息的备用访问方法。在美国联邦和CertiPath PKI中，HTTP已成为标准，而LDAP现在并不常见。
• CRL信息也可以通过OCSP以1：1的方式获得，OCSP使用Q＆amp; A样式方法来查询特定数字证书/公钥的撤销状态。当需要最新的撤销信息或CRL规模很大（例如，美国国防部的PKI）时，这尤其有用。 HTTP是OCSP的协议，很少通过HTTPS完成，因为OCSP响应已经过数字签名。

您的具体问题引用了CA不打算进一步发布CRL更新的意图。希望这意味着他们将完全停止CA操作并使CA脱机。显而易见的问题是，如果此CA发布的任何终端实体密钥丢失或受到损害，则不会有任何撤销信息。此外，联机的CA（自签名根）总是有可能被泄露，并且必须能够发布在发生时自行撤销的CRL。请仔细考虑您对从不再具有权威性的受信任机构颁发的凭据中的信任程度。