On Tue, Dec 11, 2012 at 6:10 AM, Hans Leidekker <span dir="ltr"><<a href="mailto:hans@codeweavers.com" target="_blank">hans@codeweavers.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On Tue, 2012-12-11 at 14:52 +0100, Jacek Caban wrote:<br>
> On 12/11/12 09:45, Hans Leidekker wrote:<br>
> > <a href="https://testbot.winehq.org/JobDetails.pl?Key=23300" target="_blank">https://testbot.winehq.org/JobDetails.pl?Key=23300</a> is a test which shows that<br>
> > revocation checks fail for the certificate on <a href="http://outlook.com" target="_blank">outlook.com</a> when passed straight<br>
> > to CertVerifyRevocation. The reason is that a CRL link specified in the<br>
> > certificate does not resolve.<br>
> ><br>
> > <a href="https://testbot.winehq.org/JobDetails.pl?Key=23301" target="_blank">https://testbot.winehq.org/JobDetails.pl?Key=23301</a> is a test which makes<br>
> > a secure connection to <a href="http://outlook.com" target="_blank">outlook.com</a> from wininet and shows that this succeeds.<br>
> ><br>
> > My conclusion is that native wininet doesn't perform revocation checks.<br>
><br>
> Your tests prove that we should relax our verification on<br>
> CERT_TRUST_IS_OFFLINE_REVOCATION or something similar. To prove that<br>
> revocation checks are not made, a test with truly revoked cert would be<br>
> needed.<br>
<br>
</div></div>True, though to perform the revocation check the CRL has to be retrieved and my<br>
tests with wireshark didn't show any signs of that.<br></blockquote><div><br></div><div>Would adding to the tests as part of this patch be a bad thing?</div><div>--Juan�</div></div><br></div>