Nginx撤销了根CA中的中间CA

Question

下列证书：

Root-CA -> Intermediate-CA -> Server

如果我从Root中撤销中介-CA，那么服务器将与Intermediate一起自动撤销证书。现在，在撤销中介-CA之后，Firefox浏览器显示中介-CA仍然有效。

中级-CA证书：

crlDistributionPoints = URI:http://www.example.com/pki/root-ca.crl
OCSP;URI = http://www.example.com:1212

OCSP在终端中运行，但是OCSP URI中没有请求。只有服务器的OCSP URI才能获得请求。

如果中介-CA通过根-CA撤销，那么Firefox浏览器可以识别中介-CA被撤销，服务器也被撤销？

Answer 1

看来你做不到。来自火狐的维基的：

中间CA证书的撤销处理CA证书的数量相对较少，撤销频率较低，这意味着向Firefox提供一整套已撤销证书的机制是可行的。但是，由于上面列出的问题，Firefox从未尝试将CRL下载到客户端。Firefox也不使用OCSP来验证CA证书。

火狐使用了一个名为OneCRL的概念，类似于谷歌的CRLSets，它用于中间CA的撤销检查。