¿Por qué la validación de un certificado SSL contra una CRL no es ineficiente?

Navega tus respuestas
3

Entiendo que CRL es una lista de una CA que dice qué certificados no son de confianza.

Los navegadores descargarán regularmente estas listas de sus CA confiables y verificarán el certificado de los sitios solicitados en comparación con estas listas, alertando al usuario si el certificado ha sido revocado.

Me parece que el proceso de descargar (probablemente) millones de certificados revocados de las AC y buscar en esa lista cada vez que el usuario se conecta a un sitio sería bastante lento. ¿Me estoy perdiendo algo en este protocolo?

    
pregunta jtmarmon 15.01.2016 - 04:48
fuente

1 respuesta

1
  

... sería bastante lento. ¿Me estoy perdiendo algo en este protocolo?

Tienes razón en que esto es lento y estas CRL pueden ser realmente grandes. Por lo tanto, los navegadores usualmente no usan CRLs. En su lugar, utilizan OCSP para verificar el estado de un certificado específico u otro mecanismo como CRLsets .

    
respondido por el Steffen Ullrich 15.01.2016 - 07:31
fuente

Lea otras preguntas en las etiquetas

ISSA vs ISACA vs (ISC) 2 [cerrado] ¿Se conocen estadísticas de contraseñas utilizadas durante los ataques de contraseñas de fuerza bruta?