我试图了解证书重定位列表的运行方式以及它们的更新方式。
所以说我的服务器xyz.com有一个证书,其CRL分发点配置为myissuer.com/thelist.crl
现在,当连接到xyz.com时,我使用wireshark监控网络上的通信,而且我没有看到任何调用myissuer.com来获取CRL。
所以我有两个问题:
什么时候实际发生对CRL分发点的调用?多久发生一次?
如果我手动下载并安装此CRL文件,我的客户端是否仍然尝试连接到已配置的CRL分发点?
答案 0 :(得分:2)
什么时候实际发生对CRL分发点的调用?多久?
浏览器/客户端决定何时请求CRL。它可能是“从不”
如果我手动下载并安装此CRL文件,我的客户端是否仍然尝试连接到配置的CRL分发点?
通常是,除非客户端具有自己的CRL缓存,并且CRL的生命周期尚未到期。
不常见的是客户端咨询系统存储库(例如windows密钥库)以了解是否安装了crl。请注意,CRL过期,因此拥有更新的副本
非常重要 的撤销检查,请参阅OCSP装订