Eu posso estar enganado, mas se o servidor não tiver como verificar a CRL, não há como "revogar" o certificado. Então, portanto, continuaria a funcionar. A CRL não é uma lista "permitir", mas sim uma lista "negar".
Eu tenho um serviço da Web em execução no IIS 7 que requer um certificado de cliente X509. Eu sei que o servidor em questão precisa acessar o DigiCert.com para poder obter a CRL (Lista de Revogação de Certificados).
Há uma necessidade de alterar nosso proxy, por isso estou tentando investigar o impacto disso. Eu removi as configurações globais de proxy usando o comando netsh winhttp proxy refesh
e também excluí o cache da CRL usando o comando certutil -URLcache CRL delete
.
No entanto, depois de fazer isso, todas as chamadas para o serviço da Web ainda serão bem-sucedidas. Isso sugere para mim que estou sentindo falta de algo aqui.
Então; Se o cache da CRL estiver desmarcado e o servidor não tiver como atualizar a CRL, por que os pedidos de serviço web não retornam http 403? .
Não consegui encontrar informações adequadas no googling nem nos meus colegas.
A razão pela qual eu quero que ele falhe é que eu não estou confiante de que as novas configurações de proxy funcionem até que eu possa vê-lo quebrado primeiro, se isso fizer sentido.
Eu também gostaria de poder forçar o refex da CRL para garantir que as novas configurações de proxy funcionem
Tags ssl-certificate crl