我目前正在为我的公司建立 PKI,虽然我已经想出了一个很好的布局并规划了证书颁发的总体政策,但我仍然对 CRL 扮演的角色感到困惑。
通过查看浏览器中安装的其他根 CA 证书,我们得出结论,我们可以不用根 CA 的撤销列表。
我们还基于这样的事实:我们的证书链将安装在客户站点上严格防火墙保护和封闭的环境中,这意味着从我们的 HTTP 站点检索 CRL 将不起作用。
不在根目录中包含 CRL 是不是一个坏主意?应用程序(IIS、IE、Firefox)是否会导致运行不良或需要额外配置才能正常工作?
我知道,如果没有 CRL,我就无法撤销证书,但目前这不是问题。问题涉及根 CA,根据我们的 CP,下属 CA 会或可以拥有 CRL,具体取决于类别(类别 1 = 生产,类别 3 = 测试等)。
答案1
如果您愿意在根 CA 被用于颁发坏证书或者颁发的证书被泄露的情况下完全废除它,那么应该没有问题。
如果证书未指定 CRL 分发点,那么(据我所知)浏览器和其他证书验证器应该毫不犹豫地验证该证书。
即使指定了无法访问的 CDP,浏览器仍然会非常.. 宽松地允许该证书 - 这就是为什么最近的证书颁发机构妥协促使操作系统和浏览器供应商发布补丁将证书列入黑名单,而不是仅仅信任浏览器能够正确检查 CRL。