证书如下:
Root-CA -> Intermediate-CA -> Server
如果我从根 CA 撤销中间 CA,则服务器将自动撤销证书以及中间 CA。现在,在撤销中间 CA 后,Firefox 浏览器显示中间 CA 仍然有效。
在中级 CA 证书中:
crlDistributionPoints = URI:http://www.example.com/pki/root-ca.crl
OCSP;URI = http://www.example.com:1212
OCSP 在终端上运行,但没有请求进入 OCSP URI。只有服务器的 OCSP URI 收到请求。
我该如何配置,如果中间 CA 被根 CA 撤销,那么 Firefox 浏览器可以识别中间 CA 已被撤销并且服务器也被撤销?
答案1
似乎不能。来自Firefox 的 wiki:
中级 CA 证书的吊销处理
由于 CA 证书数量相对较少且撤销频率较低,因此向 Firefox 提供一整套已撤销证书的机制是可行的。但是,由于上述问题,Firefox 从不尝试将 CRL 下载到客户端。Firefox 也不使用 OCSP 来验证 CA 证书。
Firefox 使用一个概念叫做一个CRL,类似于 Google 的 CRLSet,它用于检查中间 CA 的撤销。