Ssl-Certificate
來自 CA 的伺服器證書是否可以沒有 CRL URL?
我正在嘗試為伺服器證書創建驗證,我需要做的一件事是檢查證書是否被吊銷,但來自特定伺服器的伺服器證書似乎沒有我可以用來檢索的 CRL URL CRL 進行檢查。這應該是可能的嗎?在沒有 CRL URL 的情況下,我應該只考慮證書沒有被撤銷或陳舊嗎?
如果證書是自簽名的(即主題匹配頒發者),那麼它是可以的並且是預期的。
如果證書不是自簽名的,那麼它仍然是可能的,儘管強烈不推薦並且反對實踐。您可以嘗試查看他們是否在授權資訊訪問擴展中提供 OCSP(線上證書狀態協議)URL。如果沒有提供 OCSP URL,則 CA 操作不當。
在沒有 CRL URL 的情況下,我應該只考慮證書沒有被撤銷或陳舊嗎?
這取決於。如果它是自簽名證書,那麼您跳過吊銷檢查過程並認為證書正常(如果證書通過所有其他檢查)。如果它是非自簽名的,那麼它取決於應用程序。如果是普通的 TLS 證書,那麼繞過離線撤銷就可以了。如果是客戶端身份驗證或程式碼簽名證書,那麼拒絕該證書可能是合理的。