根 CA 是否也进行 CRL 验证?
Does CRL Validation happens for Root CA also?
证书链中的根 CA 证书是否也会使用从根 CA CDP 下载的 CRL 检查吊销状态?
这取决于证书链引擎的实现。例如,Microsoft CryptoAPI 默认不进行吊销检查。选项是:
- 仅叶证书
- 入口链,包括根
- 不包括根的整个链
.NET 包装器 X509Chain 默认为整个链,不包括根。应用程序负责在调用链接引擎时配置撤销检查选项。非 Microsoft 平台和工具(例如 OpenSSL)也是可配置的,具体的默认行为取决于实现和客户端配置。
证书链中的根 CA 证书是否也会使用从根 CA CDP 下载的 CRL 检查吊销状态?
这取决于证书链引擎的实现。例如,Microsoft CryptoAPI 默认不进行吊销检查。选项是:
- 仅叶证书
- 入口链,包括根
- 不包括根的整个链
.NET 包装器 X509Chain 默认为整个链,不包括根。应用程序负责在调用链接引擎时配置撤销检查选项。非 Microsoft 平台和工具(例如 OpenSSL)也是可配置的,具体的默认行为取决于实现和客户端配置。