CA 颁发的服务器证书可以没有 CRL URL 吗？

Question

如果证书是自签名的（即主题与颁发者匹配），那么就可以了，并且是预期的。

如果证书不是自签名的，那么仍然有可能，尽管强烈建议不要这样做，并且这样做是违反惯例的。您可以尝试查看他们是否在 Authority Information Access 扩展中提供 OCSP（在线证书状态协议）URL。如果没有提供 OCSP URL，则 CA 操作不当。

如果没有 CRL URL，我是否应该认为证书未被撤销或过期？

视情况而定。如果是自签名证书，则跳过吊销检查过程并认为证书没问题（如果证书通过所有其他检查）。如果是非自签名证书，则取决于应用程序。如果是常规 TLS 证书，则绕过离线吊销是可以的。如果是客户端身份验证或代码签名证书，则拒绝证书可能是合理的。

Answer 1

如果证书是自签名的（即主题与颁发者匹配），那么就可以了，并且是预期的。

如果证书不是自签名的，那么仍然有可能，尽管强烈建议不要这样做，并且这样做是违反惯例的。您可以尝试查看他们是否在 Authority Information Access 扩展中提供 OCSP（在线证书状态协议）URL。如果没有提供 OCSP URL，则 CA 操作不当。

如果没有 CRL URL，我是否应该认为证书未被撤销或过期？

视情况而定。如果是自签名证书，则跳过吊销检查过程并认为证书没问题（如果证书通过所有其他检查）。如果是非自签名证书，则取决于应用程序。如果是常规 TLS 证书，则绕过离线吊销是可以的。如果是客户端身份验证或代码签名证书，则拒绝证书可能是合理的。

相关内容