私は現在、会社のPKIを設定しています。適切なレイアウトを考え出し、証明書発行の全体的なポリシーを計画しましたが、CRLがどのような役割を果たしているのかまだ戸惑っています。
ブラウザにインストールされている他のルートCA証明書を調べることで、ルートCAの失効リストなしで実行できると結論付けました。
また、証明書チェーンがお客様のサイトの厳密にファイアウォールで保護された閉じた環境にインストールされるという事実に基づいています。つまり、HTTPサイトからCRLを取得することはできません。
ルートにCRLを含めないのは悪い考えですか?また、アプリケーション(IIS、IE、Firefox)の動作が悪いのでしょうか、それとも正しく機能するために追加の構成が必要でしょうか?
CRLがないため、証明書を取り消すことができなくなることは承知していますが、これは現在のところ問題ではありません。質問は、CPによると、クラス(クラス1 =本番、クラス3 =テストなど)に応じて、ルート、下位CAがCRLを持つか、持つ可能性があるかに関するものです。
不正な証明書の発行に使用された場合、または発行された証明書が侵害された場合にルートCAを完全に廃棄する場合は、問題ありません。
証明書でCRL配布ポイントが指定されていない場合、(私が知る限り)ブラウザーやその他の証明書バリデーターは、証明書の検証について何の問題もありません。
到達不能なCDPが指定されている場合でも、ブラウザーはとにかく証明書の許可について非常に緩慢です-これが、最近の認証局の侵害により、ブラウザーを信頼してCRLをチェックするのではなく、証明書をブラックリストに登録するパッチを発行するようにOSとブラウザーベンダーに促した理由です。正しく。