来自CA的服务器证书可以不具有CRL CRL吗?
来自CA的服务器证书可以不具有CRL CRL吗?
提问于 2022-10-12 16:42:11
我正在尝试为服务器证书创建一个验证,我需要做的一件事是检查证书是否被撤销,但是来自特定服务器的服务器证书似乎没有CRL,我将使用这个URL来检索CRL来检查。这是可能的吗?在没有CRL的情况下,我应该只考虑证书没有被撤销或过期吗?
回答 1
Server Fault用户
回答已采纳
发布于 2022-10-12 17:35:16
如果证书是自签名的(即主题与颁发者匹配),那么它是安全的和预期的。
如果证书不是自签名的,那么它仍然是可能的,尽管强烈地不推荐并且违背惯例。您可以尝试查看它们是否在授权信息访问扩展中提供OCSP (在线证书状态协议)URL。如果未显示OCSP URL,则CA操作不当。
在没有CRL的情况下,我应该只考虑证书没有被撤销或过期吗?
那得看情况。如果证书是自签名证书,则跳过吊销检查过程,并考虑证书是否正常(如果证书通过了所有其他检查)。如果它是非自签名的,那么它取决于应用程序。如果它是常规TLS证书,则可以绕过脱机吊销。如果是客户端身份验证或代码签名证书,则拒绝证书可能是合理的。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/1112928
复制相关文章
相似问题
腾讯云开发者
