Почему в списке отзыва сертификата CRL не содержится полная база всех отозванных сертификатов?
Понятно что это сделано для повышения производительности, качать и проверять слишком долго и затратно.
Но не понятно вот что, почему список CRL действует так мало времени? например сертификат гугл скомпрометировали неделю его все блокают но проходит неделя CRL обновляется и что получается тот сертификат опять валидный? как клиент поймет что сертификат который он использует не валидный если его нет в CRL.
но клиент когда обращается видит же не всю базу CRL а только часть за неделю или месяц, я уже молчу про DELTA CRL. я так понимаю что вообще ничего не понял по CRL
shledon, еще раз. CRL лист содержит все отозванные сертификаты, у которых не истек срок действия. Delta это дополнительныйи необязательный механизм, призванный для уменьшения нагрузки на инфраструктуру PKI.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
