<div dir="ltr"><div>Hello,<br>

<br>

I was researching how expired CRLs affect revocation checking via openssl. <br>

<br><b>

TEST #1: </b>The first test was to find out what status is returned when i verify a certificate against the CRL:<br>

<br>

[dan@canttouchthis PKI]$ openssl verify -CAfile CAS/cabundle.pem 
-CRLfile CRLS/ABC-expired.crl -crl_check CERTS/0x500c8bd-revoked.pem<br><br><i>CERTS/0x500c8bd-revoked.pem: C = us, O = ORG, OU = LAB, OU = ABC, OU = D002, CN = test<br>

<b>error 12 at 0 depth lookup:CRL has expired</b><br>C = us, O = ORG, OU = LAB, OU = ABC, OU = D002, CN = test<br><b>

error 23 at 0 depth lookup:certificate <u>revoked</u></b></i><br>

<br>

as you can see the client <b>WAS</b> informed the certificate was <b>revoked</b>, even though the CRL was expired.<br>

<br>

<br><b>TEST #2: </b>Next test was using OCSP:<br>

<br>

[dan@canttouchthis PKI]$ openssl ocsp -CAfile CAS/cabundle.pem -VAfile 
VAS/def_ocsp.pem -issuer CAS/IC\ ABC\ CA3\ DEV.cer -cert 
CERTS/0x500c8bd-revoked.pem -url <a href="http://ocspresponder:8080">http://ocspresponder:8080</a><br><br>

<i>Response verify OK<br>

CERTS/0x500c8bd-revoked.pem: <b>unknown</b><br>

This Update: Dec 9 20:48:26 2015 GMT</i><br>

<br>

as you can see the client <b>was NOT </b>informed the certificate was revoked.<br>

<br>We are using a 3rd party vendors OCSP service, and I am of the opinion that an OCSP service should provide a revoked response regardless of the time validity of the CRL. <br><br>I have read RFC 2560 & 6960 many times, and have not been able to find explicit guidance on this scenario. I am interested in the community opinion on this issue, and any pertinent mandatory guidance. <br><br>My end goal is either to convince our vendor to provide a revoked status regardless of the CRLs expiration OR justify why an OCSP service should ignore issuers with expired CRLs. I'm looking forward to any feedback provided.<br><br>--Dan</div></div>