Com que frequência a CRL é atualizada e como forçá-la?

3

Eu tenho um serviço da Web em execução no IIS 7 que requer um certificado de cliente X509. Eu sei que o servidor em questão precisa acessar o DigiCert.com para poder obter a CRL (Lista de Revogação de Certificados).

Há uma necessidade de alterar nosso proxy, por isso estou tentando investigar o impacto disso. Eu removi as configurações globais de proxy usando o comando netsh winhttp proxy refesh e também excluí o cache da CRL usando o comando certutil -URLcache CRL delete .

No entanto, depois de fazer isso, todas as chamadas para o serviço da Web ainda serão bem-sucedidas. Isso sugere para mim que estou sentindo falta de algo aqui.

Então; Se o cache da CRL estiver desmarcado e o servidor não tiver como atualizar a CRL, por que os pedidos de serviço web não retornam http 403? .

Não consegui encontrar informações adequadas no googling nem nos meus colegas.

A razão pela qual eu quero que ele falhe é que eu não estou confiante de que as novas configurações de proxy funcionem até que eu possa vê-lo quebrado primeiro, se isso fizer sentido.

Eu também gostaria de poder forçar o refex da CRL para garantir que as novas configurações de proxy funcionem

    
por lockstock 21.11.2012 / 00:40

1 resposta

2

Eu posso estar enganado, mas se o servidor não tiver como verificar a CRL, não há como "revogar" o certificado. Então, portanto, continuaria a funcionar. A CRL não é uma lista "permitir", mas sim uma lista "negar".

    
por 21.11.2012 / 01:41