自己署名証明書は失効後も信頼されます

自己署名証明書は失効後も信頼されます

ルートCAとサーバー証明書を次のように作成しました。didierstevensのブログ。サーバー証明書を取り消した後でも、ブラウザは証明書を信頼し続けます。古い CA と証明書に対して、証明書取り消しエラー メッセージが表示されていました。同じブログに従って新しい CA と証明書を作成しましたが、現在は機能していません。

テスト アプリケーションを IIS 10.0.10586.0 でホストし、クライアント ブラウザーは Chrome 63.0.3239.132 と IE 11.1295.10586.0 です。CRL ファイルにアクセスでき、両方のブラウザーで証明書失効チェックがオンになっていることを確認しました。しかし、CRL 検証はまだ行われていません。

答え1

証明書失効は、そもそも証明書を処理しているブラウザ/アプリケーションによって処理されるプロセスです。アプリケーションに接続して証明書が提示されると、まず共通名 (SAN) をチェックして、サーバーの名前が証明書と一致していることを確認します。その後、他のチェック (この質問には関係ありません) を実行し、最終的に CRL チェックに進みます。

CRL チェックでは、アプリケーションが CRL ファイルをホストしているリストされたサーバー (または OCSP サーバー) にアクセスして、提示された証明書がまだ有効かどうかを検証する必要があります。つまり、発行証明書を使用して CRL に適切に署名する必要があるだけでなく、クライアントがアクセスできるように CRL ファイルをホストする必要もあります。CRL が適切に更新および署名されていない場合、証明書がまだ有効であるにもかかわらず CRL チェックが失敗します。

そもそも CRL をチェックするクライアントがアクセスできる場所に CRL をホストしましたか?

関連情報