來自 CA 的伺服器證書是否可以沒有 CRL URL？

我正在嘗試為伺服器證書創建驗證，我需要做的一件事是檢查證書是否被吊銷，但來自特定伺服器的伺服器證書似乎沒有我可以用來檢索的 CRL URL CRL 進行檢查。這應該是可能的嗎？在沒有 CRL URL 的情況下，我應該只考慮證書沒有被撤銷或陳舊嗎？

如果證書是自簽名的（即主題匹配頒發者），那麼它是可以的並且是預期的。

如果證書不是自簽名的，那麼它仍然是可能的，儘管強烈不推薦並且反對實踐。您可以嘗試查看他們是否在授權資訊訪問擴展中提供 OCSP（線上證書狀態協議）URL。如果沒有提供 OCSP URL，則 CA 操作不當。

在沒有 CRL URL 的情況下，我應該只考慮證書沒有被撤銷或陳舊嗎？

這取決於。如果它是自簽名證書，那麼您跳過吊銷檢查過程並認為證書正常（如果證書通過所有其他檢查）。如果它是非自簽名的，那麼它取決於應用程序。如果是普通的 TLS 證書，那麼繞過離線撤銷就可以了。如果是客戶端身份驗證或程式碼簽名證書，那麼拒絕該證書可能是合理的。

引用自：https://serverfault.com/questions/1112928