现在的证书中没有 CRL 吗？

首先，fetch-crl 工具不适用于网站使用的常规 WebPKI 证书，而是适用于科学计算集群使用的 IGTF Grid 证书。它们使用相同的类型X.509 证书，但与 WebPKI 是不同的“世界”，具有不同的 CA、不同的政策、不同的目标。（许多“网格”证书识别客户端，即人们，而不是服务器。

fetch-crl 工具要求您拥有IGTF 证书包安装在您的系统上，查找*.crl_url配置文件。但是，如果您只想查看 CRL，则可以手动下载它们；以下是几个 URL：

• http://ca.dutchgrid.nl/dcaroot/g1/crl/crl.crl
• http://crl4.digicert.com/TERENAeScienceSSLCA3.crl
• http://cafiles.cern.ch/cafiles/crl/CERN%20Root%20Certification%20Authority%202.crl

（其中很多将是空的。）

现在，对于网站使用的“常规” SSL 证书，没有单一的“获取所有 CRL”工具，但您仍然可以通过从网站的证书中获取其 URL 来下载单个 CRL。

例如，我访问了一个使用来自 Sectigo CA 的证书的网站，其证书详细信息中有一个“CRL 分发点”部分，其 URL 如下：

• http://crl.sectigo.com/SectigoRSAOrganizationValidationSecureServerCA.crl

这个文件确实有一些“已撤销证书”条目，但它们相当无趣：只是序列号和相应的撤销日期的列表。您可以使用该openssl工具显示文件的内容：

$ openssl crl -in SectigoRSAOrganizationValidationSecureServerCA.crl -inform DER -noout -text

Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA
        Last Update: Apr 20 22:50:13 2022 GMT
        Next Update: Apr 27 22:50:13 2022 GMT
        CRL extensions:
            X509v3 Authority Key Identifier: 
                keyid:17:D9:D6:25:27:67:F9:31:C2:49:43:D9:30:36:44:8C:6C:A9:4F:EB
            X509v3 CRL Number: 
                1321
Revoked Certificates:
    Serial Number: D0C7B88A7392E71180B6D05FEDFED46D
        Revocation Date: Jan 21 08:57:02 2020 GMT
    Serial Number: DE6B552000A0C234809A63E979533926
        Revocation Date: Jan 21 08:58:02 2020 GMT
    Serial Number: C1C7CA37C6C07CE16B20DF2046593D2B
        Revocation Date: Jan 22 21:00:47 2020 GMT
    [...]

但实际上有些 WebPKI CA不不再具有 CRL。例如，让我们加密CA 依赖于 OCSP 和短证书有效期；superuser.com 使用的证书中没有 CRL URL。