Eu criei a CA raiz e o certificado do servidor seguindoblog didierstevens. Meus navegadores ainda confiam no certificado mesmo depois de revogar o certificado do servidor. Eu estava recebendo uma mensagem de erro de certificado revogado para minha CA e certificado antigos. Segui o mesmo blog para criar uma nova CA e certificado, mas não está funcionando agora.
Hospedei meu aplicativo de teste no IIS 10.0.10586.0, meus navegadores clientes são Chrome 63.0.3239.132 e IE 11.1295.10586.0. Confirmei que o arquivo CRL está acessível, a verificação de revogação de certificação está ativada em ambos os navegadores. Mas ainda assim a verificação da CRL não está acontecendo.
Responder1
A revogação do certificado é um processo gerenciado pelo navegador/aplicativo que está manipulando o certificado em primeiro lugar. Quando ele se conecta ao aplicativo e recebe o certificado, ele primeiro verifica o Nome Comum (ou SAN) para garantir que o nome do servidor corresponda ao certificado. Depois disso, ele faz algumas outras verificações (não relevantes para esta questão) e eventualmente chega à verificação da CRL.
A verificação da CRL exige que o aplicativo entre em contato com o servidor listado que hospeda o arquivo CRL (ou servidor OCSP) para validar se o certificado apresentado ainda é válido. Isso significa que você não apenas precisa assinar corretamente a CRL com o certificado emissor, mas também hospedar o arquivo CRL de forma que os clientes possam acessá-lo. Se a CRL não estiver devidamente atualizada e assinada, a verificação da CRL falhará de forma que o certificado ainda seja válido.
Você hospedou a CRL em um local acessível aos clientes que verificariam a CRL em primeiro lugar?