如何解决CRL 递归验证
假设我有根 CA -> Sub CA 1 -> Sub CA 2 -> 叶证书。我需要通过获取子 CA 2 提供的所有 CRL 来检查叶证书的吊销状态。如果叶证书在 CRL 中,则意味着它不再有效。一切都还好,但是如果子 CA 2 自己过期或被子 CA 1 撤销(甚至子 CA 1 自己过期或被根 CA 撤销)呢?来自 Sub CA 2 的 CRL 仍然有效吗?是否需要从叶子到根证书递归检查吊销状态?
解决方法
是的,您必须根据颁发者 CRL 验证每个证书,根证书除外。不检查根证书是否吊销。
但是您不需要自己执行此操作(编写代码)。您应该将此任务委托给实现证书验证逻辑的加密库。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。