答案1
IE 依赖加密API执行任何证书撤销/状态检查任务,因此有可能:
- 向浏览器提供了 SSL 证书
- 这是使用该证书列出的 CDP 链以及颁发的证书链中的任何 CA CDP(CRL 分发点 - 可从中获取 CRL 的 URL)进行验证的
- 颁发链中证书的有效 CRL 版本未在本地缓存
因此,CryptoAPI 的链接引擎决定它需要更新的信息来确定其中一个证书是否最近被撤销。
对证书的任何给定操作都可能导致 CRL 检索或基于 OCSP 的检查;Windows 将缓存 CRL 响应的有效期(或其 max-age HTTP 标头指定的 OCSP 响应),这也许可以解释为什么您偶尔会看到它,但不定期/频繁地看到它。
要亲自“浏览”CDP 链,请打开证书并转到“证书路径”选项卡 - 这显示了生成证书的 CA 的层次结构。打开每个证书,然后查看其“详细信息”选项卡 - CRL 位置在每个级别是客户端需要检查和缓存以完全信任证书的内容(您的机器必须信任颁发根证书,链中的任何内容才能正常工作);如果启用了 OCSP,则 AIA 扩展也很重要。
或者,将证书保存为 .CER 文件,然后运行总是很有趣的
CERTUTIL -verify -urlfetch mycert.cer
命令来查看链接引擎的运行情况。