Будет ли сертификат корневого ЦС в цепочке сертификатов также проверяться на статус отзыва с помощью CRL, загруженного из CDP корневого ЦС?
Выполняется ли проверка CRL и для корневого центра сертификации?
Ответы (1)
Это зависит от реализации механизма цепочки сертификатов. Например, Microsoft CryptoAPI по умолчанию не проверяет отзыв. Варианты:
- Только листовой сертификат
- Входная цепочка, включая корневую
- Вся цепочка, кроме корня
Оболочка .NET X509Chain по умолчанию использует всю цепочку, исключая корень. Приложения несут ответственность за настройку параметров проверки отзыва при вызове механизма цепочки. Платформы и инструменты сторонних производителей (например, OpenSSL) также можно настраивать, и точное поведение по умолчанию зависит от реализации и конфигурации клиента.
person
Crypt32
schedule
06.07.2020
