C# windows用于证书更新(OCSP或CRL)的算法是什么?如何配置它们?
我正在使用c#.Net framework连接到HTTPS服务,我想知道windows如何检查证书更新。我在谷歌上搜索了几个小时,发现windows同时支持OCSP和CRL。但问题是到底用哪一个?是否有任何方法可以在操作系统上或从代码全局配置使用的算法(不使用任何第三方库)C# windows用于证书更新(OCSP或CRL)的算法是什么?如何配置它们?,c#,.net,security,ocsp,C#,.net,Security,Ocsp,我正在使用c#.Net framework连接到HTTPS服务,我想知道windows如何检查证书更新。我在谷歌上搜索了几个小时,发现windows同时支持OCSP和CRL。但问题是到底用哪一个?是否有任何方法可以在操作系统上或从代码全局配置使用的算法(不使用任何第三方库) 非常感谢您的帮助。这通常取决于证书颁发者所支持的机制。但是,如果您的应用程序信任任何证书,则应检查证书吊销,我建议使用OCSP。CRL的一些缺点概述如下 CRL会产生大量开销,因为客户端必须搜索吊销列表。在某些情况下,这可
非常感谢您的帮助。这通常取决于证书颁发者所支持的机制。但是,如果您的应用程序信任任何证书,则应检查证书吊销,我建议使用OCSP。CRL的一些缺点概述如下
- CRL会产生大量开销,因为客户端必须搜索吊销列表。在某些情况下,这可能是1000行的长度
- CRL每5-14天定期更新一次。在下一次CRL更新之前,可能会使攻击面处于打开状态
- 一般来说,如果客户端无法下载CRL,那么默认情况下,客户端将信任证书。大多数流行的浏览器应用程序都是如此
- 如果在证书中配置了OCSP,则使用OCSP
- 如果OCSP失败,则尝试CRL
- 如果CRL失败,将引发一个
错误。应用程序决定如何对此错误作出反应RevocationOffline
- 默认行为是: