He creado una CA raíz y un certificado de servidor a continuaciónblog de didierstevens. Mis navegadores todavía confían en el certificado incluso después de revocar el certificado del servidor. Recibí un mensaje de error de certificado revocado para mi CA y mi certificado anteriores. Seguí el mismo blog para crear una nueva CA y un certificado, pero ahora no funciona.
He alojado mi aplicación de prueba en IIS 10.0.10586.0, los navegadores de mis clientes son Chrome 63.0.3239.132 e IE 11.1295.10586.0. Confirmé que se puede acceder al archivo CRL, la verificación de revocación de certificación está activada en ambos navegadores. Pero aún no se realiza la verificación CRL.
Respuesta1
La revocación de certificado es un proceso manejado por el navegador/aplicación que maneja el certificado en primer lugar. Cuando se conecta a la aplicación y se le presenta el certificado, primero verifica el nombre común (o SAN) para asegurarse de que el nombre del servidor coincida con el certificado. Después de eso, realiza otras comprobaciones (no relevantes para esta pregunta) y finalmente llega a la comprobación de CRL.
La verificación de CRL requiere que la aplicación se comunique con el servidor listado que aloja el archivo CRL (o servidor OCSP) para validar si el certificado presentado aún es válido. Esto significa que no solo debe firmar correctamente la CRL con el certificado emisor, sino que también debe alojar el archivo CRL de manera que los clientes puedan acceder a él. Si la CRL no está actualizada y firmada correctamente, esto fallaría en la verificación de la CRL de manera que el certificado aún sea válido.
¿Alojó la CRL en una ubicación a la que puedan acceder los clientes que verificarían la CRL en primer lugar?