问题描述
假设我有根 CA -> Sub CA 1 -> Sub CA 2 -> 叶证书。我需要通过获取子 CA 2 提供的所有 CRL 来检查叶证书的吊销状态。如果叶证书在 CRL 中,则意味着它不再有效。一切都还好,但是如果子 CA 2 自己过期或被子 CA 1 撤销(甚至子 CA 1 自己过期或被根 CA 撤销)呢?来自 Sub CA 2 的 CRL 仍然有效吗?是否需要从叶子到根证书递归检查吊销状态?
解决方法
是的,您必须根据颁发者 CRL 验证每个证书,根证书除外。不检查根证书是否吊销。
但是您不需要自己执行此操作(编写代码)。您应该将此任务委托给实现证书验证逻辑的加密库。
