如何实现CRL？

Question

我所了解的消息来源是：-

CRL (证书吊销列表)是脱机检查证书状态的主要方法。

但我似乎无法理解，一个设备(智能手机、计算机等)怎么可能存储每一个已被撤销的证书的状态呢？包含每个已被撤销的证书，证书转储不会变得太大了吗？

Answer 1

终端实体(电话、个人电脑等)不存储CRL文件。我的意思是不会永久存储。:)

在证书中有一个名为CRL分发点的字段，可以在其中下载CRL文件。这些文件由CA颁发，并包含已撤销证书的列表。在验证过程中，将下载该文件并根据证书Serial#进行检查。

如果列表不包含Serial#，这意味着它没有被撤销。这并不意味着它是有效的，但不被撤销。

由于这些文件可能会变得非常大，下载每个证书验证都不是最佳做法，因为它会造成巨大的网络负载。这就是为什么使用CRL缓存的原因，验证器可以缓存下载的CRL文件，并定期在那里进行检查。但是，如果证书被撤销并在缓存的时间内发出新的CRL文件，则可能会产生假阴性结果。

Answer 2

每个CA都有自己的吊销列表。当您的设备验证证书时，它将确定用于对证书进行签名的CA，下载CRL (其URL包含在CA证书中)，并检查证书的序列号是否包含在证书中。

由于所有证书都有过期日期，所以CRL中的任何证书都可以在CRL过期时从CRL中删除。这就阻止了CRL的永远增长。

话虽如此，许多客户不再使用CRL，它们现在依赖于其他机制，如OCSP装订。