最近我们的SSL证书提供商中断了。 使用由证书提供者发布的证书的Web服务由于我们将Web服务的RevocationMode设置为“Online”(这是WCF服务的默认设置)而停止工作,这意味着“撤销检查使用在线证书撤销列表(CRL )”。
为了确保我们的服务即使在证书提供者closures的时候(至less以前曾经访问过Web服务的人)也可用,我们正在考虑切换到撤销模式 – “离线”,这意味着“撤销检查使用caching证书撤销列表(CRL)“。 我已经广泛search,但无法找出什么是从“在线”撤销模式切换到“离线”,caching模式的弊端。
将我们的WCF服务移至离线检查有什么影响?
联机CRL检查可以更快地撤消证书。
如果您因妥协而吊销证书,在线支票将立即显示。
离线CRL检查相对较慢。
如果您因妥协而吊销证书,则客户在下次更新其CRL的caching副本时将无法find证书。
因此,如果使用脱机(caching)模式validation,则意味着您将用户暴露于较长时期的受损证书。
从安全的angular度来看,更好的解决scheme是使在线CRL变得冗余。
这需要一些资金和维护投资,但是允许您继续利用通过在线CRL检查获得的改进的安全性。