Мы используем сертификаты подписи кода, которые мы распространяем через групповую политику автоматической регистрации. Эти сертификаты использовались для подписи макросов Excel и выдаются внутренним центром сертификации.
Теперь, когда вы пытаетесь отозвать один из этих сертификатов, они были перечислены в списке отзыва сертификатов.
Все идет нормально.
Проблема в том, что документы, подписанные кодом, остаются надежными. Я предполагаю, что цепочка сертификатов проверяется не «онлайн», а в локальном кеше.
Я попытался установить GPO «Параметры проверки пути к сертификату» - «Отзыв» и установил флажок «Определить эти параметры политики».
Может кто-нибудь прояснить, как (долго) записи об отзыве хранятся на клиентской машине? Наша CA хранит и публикует свои CRL. Можно ли заставить клиентов немедленно проверять этот список каждый раз, когда приложение MS office открывает подписанный документ?
Клиенты Windows широко используют проверку отзыва (как для CRL, так и для OCSP). После получения CRL для указанного эмитента или OCSP для указанного сертификата он кэшируется, и новые запросы не отправляются, пока не истечет срок действия кэшированной информации.
Для списков отзыва сертификатов они кэшируются до NextUpdate значение в CRL. Для ответов OCSP аналогично, до nextUpdate ценность в SingleResponse структура, которая часто устанавливается на NextUpdate поле указанного CRL.
Клиент Windows в списке отзыва сертификатов включает некоторые расширенные функции, например опрос. Клиент Windows периодически опрашивает URL-адрес CDP, чтобы проверить, доступна ли новая информация об отзыве (через E-Tag), и предварительно выбирает ее, если доступна новая информация.
Отзыв сертификата - это и никогда не было немедленным действием, для получения обновленной информации по клиентам требуется некоторое разумное время.