每次客户收到证书时都会检查证书撤销列表吗?或者它是第一次发生,然后再次发生CRL更新?
答案 0 :(得分:1)
通常,客户端只有在遇到由CA(证书颁发机构)签名的证书时才会下载CRL,而该证书的CRL没有,或者CRL已过期。这假设客户端完全检查CRL。
根据CA的CRL检查证书的频率,甚至是 if ,取决于客户端。 CRL是一项相当古老的技术,正在被OCSP,OCSP装订和“引脚列表”取代。例如,谷歌的Chrome浏览器和Firefox浏览器根本不下载CRL(虽然可以手动配置Chrome以下载CRL)。
CRL本身将指示下次更新的时间,但是由客户端来获取更新。