ใบรับรอง CA หลักในสายใบรับรองจะถูกตรวจสอบสถานะการเพิกถอนโดยใช้ CRL ที่ดาวน์โหลดจาก CDP หลักของ CA หรือไม่
การตรวจสอบ CRL เกิดขึ้นกับ Root CA ด้วยหรือไม่
คำตอบ (1)
ขึ้นอยู่กับการใช้งานเอ็นจิ้นการผูกมัดใบรับรอง ตัวอย่างเช่น Microsoft CryptoAPI มีค่าเริ่มต้นเป็นไม่มีการตรวจสอบการเพิกถอน ตัวเลือกคือ:
- ใบรับรองใบเท่านั้น
- ห่วงโซ่รายการรวมถึงรูท
- ห่วงโซ่ทั้งหมดไม่รวมราก
.NET wrapper X509Chain มีค่าเริ่มต้นเป็นทั้งเชน ไม่รวมรูท แอปพลิเคชันมีหน้าที่กำหนดค่าตัวเลือกการตรวจสอบการเพิกถอนเมื่อเรียกเอ็นจิ้นการผูกมัด แพลตฟอร์มและเครื่องมือที่ไม่ใช่ของ Microsoft (เช่น OpenSSL) สามารถกำหนดค่าได้เช่นกัน และลักษณะการทำงานเริ่มต้นที่แน่นอนจะขึ้นอยู่กับการใช้งานและการกำหนดค่าไคลเอนต์
person
Crypt32
schedule
06.07.2020
