Почему Internet Explorer не выполняет процесс проверки статуса отзыва сертификата, в то время как другие браузеры работают?
по умолчанию, веб-браузеры используют ошибку проверки мягкого отзыва.Если статус отзыва RevocationOffline, ошибка пропускается без уведомления.Некоторые браузеры могут быть настроены на использование жесткой проверки отзыва, как вы видите в Internet Explorer.Это результат такой конфигурации.
Есть ли исправление, которое мы могли бы сделать на сервере, чтобы исправить эту проблему на стороне сервера для Internet Explorer без функции OCSP?
Internet Explorer использует как OCSP, так и CRL.Сшивание OCSP поддерживается и в IE.
Если сшивание OCSP представлено во время рукопожатия TLS, оно используется для определения статистики отзыва.
Если 1 не удается и URL-адреса OCSP доступны, выполняется попытка OCSP.Если OCSP отвечает точной информацией, проверка отзыва заканчивается статусом ответа.
Если 1 и 2 не пройдены, выполняется попытка CRL.Если информация о CRL доступна и свежа, она используется для определения статуса отзыва.Если произойдет сбой CRL, возникает ошибка RevocationOffline.
Проверка отзыва может быть неудачной на каждом уровне, поэтому вам может потребоваться провести более тщательное расследование.Например, сохраните сертификат SSL веб-сервера в файл .CER и выполните команду certutil:
certutil -verify -urlfetch path\sslcert.cer
и проверьте вывод на наличие ошибок.
Является ли это реальной уязвимостью?
это зависит.Проблема в том, что вы не можете определить, аннулирован ли представленный сертификат его полномочиями или нет.Если ключ веб-сайта будет взломан и отозван, вы не заметите этого и примете сертификат.Я бы посчитал это вопросом, требующим решения.