revocation: Ignore CRLs that are not yet valid
authorTobias Brunner <tobias@strongswan.org>
Wed, 25 Apr 2018 09:38:38 +0000 (11:38 +0200)
committerTobias Brunner <tobias@strongswan.org>
Tue, 22 May 2018 07:50:47 +0000 (09:50 +0200)
commit13f76a241cef93cda07823e0e92760b3df45e5d4
tree633095c3ef691e0643e253da673c61ec8d00e2ae
parent9c6b102ee0a687985fa0f1ed834aacef3064b1a4
revocation: Ignore CRLs that are not yet valid

Using such CRLs can be a problem if the clock on the host doing the
revocation check is trailing behind that of the host issuing CRLs in
scenarios where expired certificates are removed from CRLs.  As revoked
certificates that expired will then not be part of new CRLs a host with
trailing clock might still accept such a certificate if it is still
valid according to its system clock but is not contained anymore in the
not yet valid CRL.
src/libstrongswan/plugins/revocation/revocation_validator.c