哪一种更容易使用?
我想知道是否有一个简单而持久的解决方案让我的用户(Android手机)能够验证其他用户的证书是否未被撤销。 在网上阅读之后,如果更好地实施CRL,OCSP或其他方法,我仍然感到困惑。
•该应用可能拥有大约10 000名用户。 •应用程序中使用的证书由我们签名。我们自己有一个相当简单的证书颁发机构,应用程序信任。 我不想采用临时解决方案,以后在我们实施更好的解决方案时,后向兼容性可能会很昂贵。
答案 0 :(得分:1)
我不想给出答案,只是发表评论,因为我没有测试你的类似情况。但由于我没有足够的评论来评论,我正在回答我的意见。所以,一个不起眼的要求,如果你不喜欢我的评论,请不要投票给我。
在任何设备中,CRL应该更容易实现并且减少麻烦。为什么?因为,OCSP响应必须由硬件/软件令牌签名。因此,当5000个用户请求ocsp验证时,硬件/软件令牌需要通过多线程处理。当然,处理请求/响应的数量将是一个限制。另一方面,CRL可以已经签名并存储在数据库/文件中并将其返回给用户。因此,在这种情况下,甚至50000个用户一次请求CRL。我测试了1000个CRL请求,它可以完美地工作,并且只能同时处理300个OCSP请求。
但是,有一件事。在大多数情况下,用户希望获得当前的证书状态。在这种情况下,OCSP比大多数人更有效率,更可取。此外,CRL需要工作人员定期更新。