没有CRL的根CA的含义

目前我正在为公司build立一个PKI,虽然我提出了一个很好的布局,并且计划了颁发证书的总体方针,但我仍然对CRL扮演的angular色感到困惑。

通过查看安装在浏览器中的其他根CA证书,我们得出结论:我们可以没有撤销列表为我们的根CA.

我们也基于这样一个事实,即我们的证书链将安装在我们客户站点的严格防火墙和封闭环境中,这意味着从HTTP站点检索CRL将不起作用。

不要在根中包含CRL是一个坏主意? 而应用程序(IIS,IE,Firefox)performance不好或需要额外的configuration才能正常工作?

我知道,由于没有CRL,我失去了吊销证书的能力,但目前这不是问题。 问题涉及根源,根据我们的CP,下属CA将会或可能拥有CRL,取决于类别(等级1 =生产,等级3 =testing等)。

如果您愿意完全废除根证书颁发机构所使用的颁发错误证书的事件,或者颁发的证书已被泄露,那么应该没有问题。

如果证书没有指定CRL分发点,那么(据我所知)浏览器和其他证书validation器应该没有任何关于validation证书的问题。

即使指定了无法访问的CDP,浏览器对于允许使用证书也是非常啰嗦 – 这就是为什么最近的证书颁发机构妥协已经提示操作系统和浏览器供应商发布将证书列入黑名单的原因,而不仅仅是信任浏览器来检查CRL正常。