Spärrkontroller i Common
...
Spärrkontrollen i Common använder sig av både CRL:er (Certificate Revocation List) och OCSP (Online Certificate Status Protocol) för att avgöra om ett certifikat ska förklaras som giltigt. Dessa två sätt att avgöra giltigheten på ett certifikat används i samspel med varandra för att ge ett stabilt system för spärrkontroller. För att avgöra statusen på ett certifikat används antingen CRL eller OCSP som primär källa och det andra sättet blir den sekundära källan och agerar som fallback ifall primära källan inte kan ge ett tillförlitligt svar. Om sekundära källan ska användas som fallback bestäms av den specifika applikationens konfiguration. Om varken CRL eller OCSP kan ge ett tillförlitligt svar på revokeringsstatus blir resultatet en UNDETERMINED_REVOCATION_STATUS.
...
Konfiguration av Spärrkontrollen
| Egenskap | Defaultvärde | Exempelvärde | Förklaring |
|---|---|---|---|
inera.common.trust.do-revocation-check | true | true | Avgör ifall spärrkontroller ska genomföras överhuvudtaget |
inera.common.trust.no-fallback | false | false | |
| inera.common.trust.only-end-entity | false | true | |
| inera.common.trust.prefer-crls | false | false | |
| inera.common.trust.soft-fail | false | false | |
| inera.common.trust.allow-undetermined | false | false | |
| inera.common.trust.use-only-cached-revocation-data | false | false | |
| inera.common.trust.dynamically-sort-fallback-order | false | false | |
| inera.common.trust.verifier.enable-explicit-ocsp-lookup | true | true | |
| inera.common.revocation-check-executor.only-end-entity | false | true | |
| inera.common.ocsp-data-service.enable-cache | false | true | |
| inera.common.crl-data-service.use-old-crls | false | false | |
| inera.common.crl-data-job.fixed-rate-millis | 1800000 | ||
| inera.common.crl-data-job.end-entity-crl-urls | [] | http://crl1pp.siths.se/testsithseidpersonhsaid3cav1.crl, \ |