Nginx 从 Root-CA 撤销了 Intermediate-CA

Nginx 从 Root-CA 撤销了 Intermediate-CA

证书如下:

Root-CA -> Intermediate-CA -> Server

如果我从根 CA 撤销中间 CA,则服务器将自动撤销证书以及中间 CA。现在,在撤销中间 CA 后,Firefox 浏览器显示中间 CA 仍然有效。

在中级 CA 证书中:

crlDistributionPoints = URI:http://www.example.com/pki/root-ca.crl
OCSP;URI = http://www.example.com:1212

OCSP 在终端上运行,但没有请求进入 OCSP URI。只有服务器的 OCSP URI 收到请求。

我该如何配置,如果中间 CA 被根 CA 撤销,那么 Firefox 浏览器可以识别中间 CA 已被撤销并且服务器也被撤销?

答案1

似乎不能。来自Firefox 的 wiki

中级 CA 证书的吊销处理

由于 CA 证书数量相对较少且撤销频率较低,因此向 Firefox 提供一整套已撤销证书的机制是可行的。但是,由于上述问题,Firefox 从不尝试将 CRL 下载到客户端。Firefox 也不使用 OCSP 来验证 CA 证书。

Firefox 使用一个概念叫做一个CRL,类似于 Google 的 CRLSet,它用于检查中间 CA 的撤销。

相关内容