Eu tenho várias opções diferentes para você, já que solucionar problemas de uma PKI em potencial pode ser um problema complexo.
CRLs são animais lentos e pesados ...
Primeiro de tudo, direi a você que os tempos limite de CRLs levaram a maior PKI do mundo a não usar CRLs para a grande maioria das necessidades de validação de PKI. Fazer o download de um arquivo de 50MB quando um usuário precisa apenas de um simples sim ou não antes de enviar um e-mail criptografado não é um bom começo!
Como fazer a validação
1 - Você pode testar um cliente de validação nativo da Microsoft de substituição com um cliente de validação de terceiros, como o Tumbleweed ou outros, e depois monitorar o cliente de validação de terceiros (como um controle). A Tumbleweed / Axways vende e fornece testes de um cliente de validação popular de terceiros, repetidores e respondentes do OCSP. Você também pode usar OpenSSL, ejbca ou OpenCA como respondedores de validação. Além disso, há um PKIF de estrutura OSS, que inclui funções específicas de log CAPI, e clientes OCSP localizados no link
2 - Você pode controlar as fontes de dados de validação (CRL, OCSP, SCVP).
3 - Outra fonte de problemas pode ser a resolução lenta de DNS, falta de cache DNS ou PKI configurada incorretamente, trusts ausentes ou o tempo necessário para atualizar as CRLs (causando um travamento temporário se uma PKI maior).
Você pode compartilhar mais detalhes sobre a configuração dos aplicativos, a PKI em si, os campos para os certificados x509, largura de banda, etc. Em particular, estou interessado nos campos relevantes para validação, como o Acesso a Informações da Autoridade (AIA). ) por exemplo, e quaisquer referências codificadas à CRL ou OCSP.
Tenha em mente que há uma ambigüidade bem conhecida nos tipos de resposta também. As RFCs especificamente para o OCSP têm problemas em que uma boa resposta e uma resposta desconhecida são igualmente válidas para um certificado do qual a validação não tem conhecimento.
Uma discussão sobre alternativas:
Existem dois métodos principais de validação de certificado, listagem branca e listagem negra.
Os protocolos de listagem negra incluem CRLs, OCSP e SCVP e, em seguida, variações do OCSP.
A listagem branca no Windows pode ser realizada usando a interface do OCSP com um CA DB, CTLs * e SCVP.
Na maioria dos casos, os métodos de lista branca são considerados superiores, mais seguros, mais rápidos, mais em tempo real e melhores alternativas aos métodos de listagem negra.