我正在尝试为服务器证书创建验证,我需要做的一件事是检查证书是否被吊销,但来自特定服务器的服务器证书似乎没有我可以用来检索的 CRL URL CRL 进行检查。这应该是可能的吗?在没有 CRL URL 的情况下,我应该只考虑证书没有被撤销或陈旧吗?
AskOverflow.Dev
我正在尝试为服务器证书创建验证,我需要做的一件事是检查证书是否被吊销,但来自特定服务器的服务器证书似乎没有我可以用来检索的 CRL URL CRL 进行检查。这应该是可能的吗?在没有 CRL URL 的情况下,我应该只考虑证书没有被撤销或陈旧吗?
如果证书是自签名的(即主题匹配颁发者),那么它是可以的并且是预期的。
如果证书不是自签名的,那么它仍然是可能的,尽管强烈不推荐并且反对实践。您可以尝试查看他们是否在授权信息访问扩展中提供 OCSP(在线证书状态协议)URL。如果没有提供 OCSP URL,则 CA 操作不当。
这取决于。如果它是自签名证书,那么您跳过吊销检查过程并认为证书正常(如果证书通过所有其他检查)。如果它是非自签名的,那么它取决于应用程序。如果是普通的 TLS 证书,那么绕过离线撤销就可以了。如果是客户端身份验证或代码签名证书,那么拒绝该证书可能是合理的。