CA 颁发的服务器证书可以没有 CRL URL 吗?

CA 颁发的服务器证书可以没有 CRL URL 吗?

我正在尝试创建服务器证书验证,我需要做的事情之一是检查证书是否已被吊销,但特定服务器的服务器证书似乎没有 CRL URL,我可以使用 CRL 来检索以进行检查。这可能吗?如果没有 CRL URL,我是否应该认为证书未被吊销或过期?

答案1

如果证书是自签名的(即主题与颁发者匹配),那么就可以了,并且是预期的。

如果证书不是自签名的,那么仍然有可能,尽管强烈建议不要这样做,并且这样做是违反惯例的。您可以尝试查看他们是否在 Authority Information Access 扩展中提供 OCSP(在线证书状态协议)URL。如果没有提供 OCSP URL,则 CA 操作不当。

如果没有 CRL URL,我是否应该认为证书未被撤销或过期?

视情况而定。如果是自签名证书,则跳过吊销检查过程并认为证书没问题(如果证书通过所有其他检查)。如果是非自签名证书,则取决于应用程序。如果是常规 TLS 证书,则绕过离线吊销是可以的。如果是客户端身份验证或代码签名证书,则拒绝证书可能是合理的。

相关内容