Самозаверяющий сертификат остается доверенным после отзыва
Я создал Root CA и сертификат сервера после блога didierstevens. Мои браузеры все еще доверяют сертификату даже после отзыва сертификата сервера. Я получал сообщение об отзыве сертификата для моего старого центра сертификации и сертификата. Я следовал тому же блогу для создания нового CA и сертификата, но он не работает сейчас.
Я разместил свое тестовое приложение в IIS 10.0.10586.0, мои клиентские браузеры - Chrome 63.0.3239.132 и IE 11.1295.10586.0. Я подтвердил, что файл CRL доступен, проверка отзыва сертификатов включена в обоих браузерах. Но все равно проверка CRL не происходит.
1 ответ
Отзыв сертификата - это процесс, который обрабатывается браузером / приложением, которое обрабатывает сертификат в первую очередь. Когда он подключается к приложению и получает сертификат, он сначала проверяет общее имя (или SAN), чтобы убедиться, что имя сервера соответствует сертификату. После этого он выполняет некоторые другие проверки (не относящиеся к этому вопросу) и в конечном итоге попадает на проверку CRL.
Проверка CRL требует, чтобы приложение обращалось к указанному серверу, на котором размещен файл CRL (или сервер OCSP), чтобы проверить, действителен ли представленный сертификат. Это означает, что вам нужно не только правильно подписать CRL с выдающим сертификатом, но и разместить файл CRL таким образом, чтобы клиенты могли получить к нему доступ. Если CRL не обновлен должным образом и не подписан, это приведет к неудаче проверки CRL таким образом, что сертификат все еще действителен.
Размещали ли вы CRL в месте, доступном для клиентов, которые в первую очередь проверяли бы CRL?