Certificate-Authority
沒有 CRL 的根 CA 的含義
我目前正在為我的公司建立一個 PKI,雖然我已經提出了一個很好的佈局並規劃了證書頒發的整體政策,但我仍然對 CRL 扮演什麼角色感到困惑。
通過查看瀏覽器中安裝的其他根 CA 證書,我們得出結論,我們可以不使用根 CA 的吊銷列表。
我們還基於這樣一個事實,即我們的證書鏈將安裝在我們客戶站點的嚴格防火牆和封閉環境中,這意味著從我們的 HTTP 站點檢索 CRL 將不起作用。
不在根目錄中包含 CRL 是不是一個壞主意?應用程序(IIS、IE、Firefox)是否會表現不佳或需要額外的配置才能正常工作?
我知道,如果沒有 CRL,我將失去吊銷證書的能力,但這目前不是問題。問題涉及根,根據我們的 CP,從屬 CA 將或可能具有 CRL,具體取決於類(1 類 = 生產,3 類 = 測試等)。
如果您願意在根 CA 用於頒發錯誤證書或頒發的證書被洩露的情況下完全廢棄根 CA,那麼應該沒問題。
如果證書沒有指定 CRL 分發點,那麼(據我所知)瀏覽器和其他證書驗證器應該對驗證證書沒有疑慮。
即使指定了無法訪問的 CDP,瀏覽器仍然對允許證書非常鬆懈——這就是為什麼最近的證書頒發機構妥協促使作業系統和瀏覽器供應商發布更新檔將證書列入黑名單,而不僅僅是信任瀏覽器檢查 CRL適當地。