Назад | Перейти на главную страницу

Самоподписанный сертификат остается доверенным после отзыва

Я создал корневой ЦС и сертификат сервера после блог Didierstevens. Мои браузеры по-прежнему доверяют сертификату даже после отзыва сертификата сервера. Я получал сообщение об ошибке отозванного сертификата для моего старого центра сертификации и сертификата. Я следил за тем же блогом для создания нового центра сертификации и сертификата, но сейчас он не работает.

Я разместил свое тестовое приложение в IIS 10.0.10586.0, мои клиентские браузеры - Chrome 63.0.3239.132 и IE 11.1295.10586.0. Я подтвердил, что файл CRL доступен, проверка отзыва сертификатов включена в обоих браузерах. Но все равно проверка CRL не происходит.

Отзыв сертификата - это процесс, который обрабатывается браузером / приложением, которое в первую очередь обрабатывает сертификат. Когда он подключается к приложению и получает сертификат, он сначала проверяет общее имя (или SAN), чтобы убедиться, что имя сервера соответствует сертификату. После этого он выполняет некоторые другие проверки (не относящиеся к этому вопросу) и в конечном итоге переходит к проверке CRL.

Для проверки CRL требуется, чтобы приложение обратилось к указанному серверу, на котором размещен файл CRL (или серверу OCSP), чтобы проверить, действителен ли представленный сертификат. Это означает, что вам необходимо не только правильно подписать CRL с помощью выдающего сертификата, но и разместить файл CRL таким образом, чтобы клиенты могли получить к нему доступ. Если CRL не обновлен и не подписан должным образом, это приведет к сбою проверки CRL, так как сертификат остается действительным.

Размещали ли вы CRL в месте, доступном для клиентов, которые в первую очередь должны проверять CRL?