我想获取在Android设备上下载的所有吊销证书列表的列表吗?我知道this类可让您检查证书是否被吊销,但是我想获取吊销证书的整个列表。可能吗? Android是否存储这样的列表,还是使用OCSP来检查证书?
答案 0 :(得分:1)
Android似乎没有存储证书吊销列表(或者至少存储了证书吊销列表,否则它不使用它)。几年前有一个reddit thread提出并讨论了它的优缺点,但其实质是,如果您使用https://revoked.grc.com/(如果您的浏览器会出现错误,检查已吊销的证书),您会收到通知,通知您浏览器不会检查已吊销的证书。
从上面的页面(revoked.grc.com,除非使用的浏览器不带CRL,否则您应该看不到):
移动Android平台当前提供自己的否证书吊销检查,因此Android应用(包括Google Chrome浏览器的所有用户)容易受到恶意证书滥用的攻击。当今,安全使用Android的唯一方法是使用Firefox,它具有自己的证书安全性。
我发现了更多的消息来源(几年前,但它们似乎仍然很相关并且可以准确地描述当前情况):
The CommonsBlog, discussing the lack of certificate revocation checks on Android
标记此WontFix有两个原因:
1)吊销检查是Android和相关SSL API的责任。 Android本身不执行,并且从未执行过吊销检查[...]
2)吊销检查通常不起作用(作为安全性功能),尤其是对于移动设备,吊销检查会极大地影响性能(负面影响)和隐私(负面影响)