[英]How to check the Certificate Revocation Lists (CRL) of Android's KeyStore?
我想使用Android的硬件KeyStore功能,所以我使用Pixel3手機獲取KeyStore對象的證書鏈,如本文所示 。
例如,查看一個特定的.cer
文件,CRL分發點是https://android.googleapis.com/attestation/crl/8F6734C9FA504789
。
在瀏覽器中打開此鏈接會出現404錯誤。 即使只是調用https://android.googleapis.com
也會產生相同的404錯誤。
我嘗試使用Google的OAuth2 Playground進行正確身份驗證,但即使是來自那里的請求也會返回404錯誤。
此外,當使用PKIXParameters
類在Java中證明證書鏈時,它會拋出一個CertPathValidationException
說“無法確定撤銷狀態”。 但是當使用pkix_parameters.setRevocationEnabled(false)
禁用撤銷檢查時,鏈的驗證成功。
我也不希望它是一個API身份驗證問題,因為頁面返回404,而不是“無效的項目ID”,就像在其他端點上一樣。
我的問題主要是我錯過了什么,為什么我在嘗試獲取CRL分發點時只獲得404?
顯然,某些設備的證明證書沒有有效的CRL分發點。 我已經使用不同Pixel 3設備的證明證書對此進行了測試,並且還測試了GrapheOS / AttestationSamples中的一些設備。
以下是中間證明證書沒有有效CRL分發點的設備列表。
+-----------+----------------+
| samsung | SM-M205F |
| Xiaomi | MI 9 |
| Xiaomi | POCOPHONE F1 |
| OnePlus | GM1913 |
| Google | Pixel 3a XL |
| Google | Pixel 3a |
| Google | Pixel 3 |
| Google | Pixel 3 XL |
| HUAWEI | AUM-L29 |
+-----------+----------------+
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.