使用失時效的 CRL

S/MIME applet 向 Messaging Server 傳送請求之後，Messaging Server 會對照 CRL 檢查憑證。Messaging Server 將 CRL 的副本下載至磁碟並使用該副本檢查憑證，而非在每次檢查憑證時都將 CRL 下載至記憶體。每個 CRL 都具有下次更新欄位，用於指定應該使用較新 CRL 版本的日期。可以將下次更新的日期視為使用 CRL 中的過期日期或時間限制。超過其下次更新日期的 CRL 均被視為舊的或失時效，並會觸發 Messaging Server 在下次檢查憑證時下載 CRL 的最新版本。

S/MIME applet 每次請求對照 CRL 檢查憑證時，Messaging Server 均會執行以下動作︰

1. 將目前日期與 CRL 的下次更新日期相比較。

2. 如果 CRL 已失時效，Messaging Server 將會下載 CRL 的最新版本以替代磁碟上失時效的 CRL，然後繼續進行檢查。但是，如果找不到或無法下載較新的 CRL，則使用 smime.conf 檔案中的 crlusepastnextupdate 值決定下一步。

3. 如果 crlusepastnextupdate 設定為 0，則不使用失時效的 CRL，且問題憑證處於不明狀態。S/MIME applet 使用 smime.conf 中的 revocationunknown 值決定下一步︰

   1. 如果 revocationunknown 設定為 ok，則視憑證為有效，且使用私密金鑰或公開金鑰簽名或加密郵件。

   2. 如果 revocationunknown 設定為 revoked，則視憑證為無效，且不使用私密金鑰或公開金鑰簽名或加密郵件，同時快顯式錯誤訊息會警示郵件使用者不能使用該金鑰。

   如果 crlusepastnextupdate 設定為 1，則 S/MIME applet 繼續使用此失時效的 CRL，這樣做不會中斷 Communications Express Mail 內的處理，但將會寫入一條訊息至 Messaging Server 記錄檔以警示此情況。

對照 CRL 檢查憑證時，此系列的事件會繼續發生。只要 Messaging Server 可以及時下載較新版本的 CRL，並且視 smime.conf 檔案中的設定而定，郵件處理會不中斷地進行。定期檢查 Messaging Server 記錄，查看是否存在重複的訊息表示正使用失時效的 CRL。如果無法下載較新的 CRL，則需要研究無法存取的原因。