Qual è la differenza tra OCSP, CRL e CDP? Lo stesso vale per OCSP e CRL? Possiamo usare un CRL senza configurare OCSP?
L'elenco di revoche di certificati (CRL) è un elenco di certificati revocati. Non contiene il certificato in sé ma principalmente il numero di serie. È firmato direttamente o indirettamente dalla CA che ha emesso questi certificati. Il CRL può essere molto grande perché può contenere molte revoche. Per verificare se un certificato è stato revocato, il client deve scaricare l'elenco (o disporre di una copia recente) e quindi cercare il numero di serie del certificato corrente nell'elenco. Se non viene trovato lì, non viene revocato.
Il percorso del CRL per un certificato specifico (cioè dove scaricare) è specificato nel certificato stesso come punto di distribuzione CRL (CDP).
Poiché i CRL contengono informazioni per molti certificati, sono spesso grandi e quindi non adatti per un controllo rapido della revoca. Il protocollo OCSP (Online Certificate Status Protocol) controlla invece solo un certificato specifico e chiede al risponditore OCSP se questo certificato è stato revocato o meno. Il risponditore OCSP restituisce rapidamente queste informazioni specifiche che sono nuovamente firmate direttamente o indirettamente dall'emittente del certificato. Per una revoca ancora più veloce, il server può regolarmente recuperare una risposta OCSP corrente e inviarla al client all'interno dell'handshake TLS. Con questa "pinzatura OCSP" il client non ha bisogno di chiedere esplicitamente al risponditore OCSP informazioni di revoca perché il client ha già queste informazioni.
Can we use a CRL without configuring OCSP?
Sì.
La differenza tra CRL e OCSP è che con CRL, è necessario scaricare l'intera catena di certificati mentre con OCSP, basta interrogare la CA per verificare se il certificato che hai ricevuto è valido.
CDP, afaik, fa solo parte del CRL.
Leggi altre domande sui tag public-key-infrastructure certificate-revocation