Самоподписанный сертификат по-прежнему является доверенным после отзыва
Я создал корневой центр сертификации и сертификат сервера после didierstevens blog . Мои браузеры по-прежнему доверяют сертификату даже после отзыва сертификата сервера. Я получал сообщение об ошибке отозванного сертификата для моего старого ЦС и сертификата. Я следил за тем же блогом для создания нового центра сертификации и сертификата, но сейчас он не работает.
Я разместил свое тестовое приложение в IIS 10.0.10586.0, мои клиентские браузеры - Chrome 63.0.3239.132 и IE 11.1295.10586.0. Я подтвердил, что файл CRL доступен, проверка отзыва сертификатов включена в обоих браузерах. Но все равно проверка CRL не происходит.
Отзыв сертификата - это процесс это обрабатывается браузером / приложением, которое в первую очередь обрабатывает сертификат. Когда он подключается к приложению и получает сертификат, он сначала проверяет общее имя (или SAN), чтобы убедиться, что имя сервера соответствует сертификату. После этого он выполняет некоторые другие проверки (не относящиеся к этому вопросу) и в конечном итоге переходит к проверке CRL.
Проверка CRL требует, чтобы приложение обратилось к указанному серверу, на котором размещен файл CRL (или серверу OCSP), для проверки если представленный сертификат еще действителен. Это означает, что вы должны не только правильно подписать CRL с помощью выдающего сертификата, но и разместить файл CRL таким образом, чтобы клиенты могли получить к нему доступ. Если CRL не обновлен и не подписан должным образом, это приведет к сбою проверки CRL, так как сертификат все еще действителен.
Размещали ли вы CRL в месте, доступном для клиентов, которые будут проверять CRL в первое место?