Я создал корневой центр сертификации и сертификат сервера следующим образомблог didierstevens. Мои браузеры по-прежнему доверяют сертификату даже после отзыва сертификата сервера. Я получал сообщение об ошибке отзыва сертификата для моего старого CA и сертификата. Я следил за тем же блогом для создания нового CA и сертификата, но теперь это не работает.
Я разместил свое тестовое приложение в IIS 10.0.10586.0, мои клиентские браузеры — Chrome 63.0.3239.132 и IE 11.1295.10586.0. Я подтвердил, что файл CRL доступен, проверка отзыва сертификатов включена в обоих браузерах. Но проверка CRL по-прежнему не происходит.
решение1
Отзыв сертификата — это процесс, который обрабатывается браузером/приложением, которое в первую очередь обрабатывает сертификат. Когда он подключается к приложению и получает сертификат, он сначала проверяет Common Name (или SAN), чтобы убедиться, что имя сервера соответствует сертификату. После этого он выполняет некоторые другие проверки (не относящиеся к этому вопросу) и в конечном итоге переходит к проверке CRL.
Проверка CRL требует, чтобы приложение обратилось к указанному серверу, на котором размещен файл CRL (или серверу OCSP), чтобы проверить, действителен ли представленный сертификат. Это означает, что вам не только нужно правильно подписать CRL с помощью выдавшего сертификата, но и разместить файл CRL таким образом, чтобы клиенты могли получить к нему доступ. Если CRL не обновлен и не подписан должным образом, это приведет к провалу проверки CRL, при котором сертификат все еще действителен.
Разместили ли вы CRL в месте, доступном для клиентов, которые изначально будут проверять CRL?