La CA dovrebbe pubblicare CRL aggiornati anche se non revocano alcun certificato? E cosa succederà se l'ultimo CRL è più vecchio di quanto consentito in default_crl_days
quando è stato generato il certificato?
Saluti.
La CA dovrebbe pubblicare CRL aggiornati anche se non revocano alcun certificato? E cosa succederà se l'ultimo CRL è più vecchio di quanto consentito in default_crl_days
quando è stato generato il certificato?
Saluti.
Sì, i CRL devono essere riemessi periodicamente in tutti i casi. Anche se nessun certificato è stato revocato. Questo perché i CRL hanno un periodo di validità con data di fine validità specifica determinata dal campo Next Update
(o NotAfter
). Devi pubblicare un nuovo CRL prima di quel momento.
Se il CRL è scaduto, il motore di concatenamento certificato rifiuterà quell'errore CRL e segnalerà RevocationOffline
.
Leggi altre domande sui tag certificate-authority certificate-revocation crl