In che modo la convalida di un certificato SSL rispetto a un CRL non è inefficiente?

Naviga le tue risposte
3

La mia comprensione è che CRL è un elenco di una CA che indica quali certificati non fidarsi.

I browser scaricano regolarmente questi elenchi dalle loro CA attendibili e controllano il certificato dei siti richiesti rispetto a questi elenchi, avvisando l'utente se il certificato è stato revocato.

Mi sembra che il processo di download dei (probabilmente) milioni di certificati revocati da CA e la ricerca di quell'elenco ogni volta che l'utente si connette a un sito sarebbe piuttosto lento. Mi manca qualcosa in questo protocollo?

    
posta jtmarmon 15.01.2016 - 04:48
fonte

1 risposta

1

..would be quite slow. Am I missing something in this protocol?

Hai ragione che questo è lento e questi CRL possono essere veramente grandi. Di conseguenza i browser di solito non usano i CRL. Invece usano OCSP per verificare lo stato di un certificato specifico o ancora un altro meccanismo come CRLsets .

    
risposta data 15.01.2016 - 07:31
fonte

Leggi altre domande sui tag

Comprensione del trucco sul sito di e-commerce Come impedisco l'aggiunta di javascript extra nel chiosco HTML nello spazio pubblico?