某些操作系统（包括 Windows）希望强制验证 DLL 的签名。验证需要根据签名者的公钥验证签名，该公钥位于签名者的证书中，该证书本身需要验证。证书验证包括撤销状态检查。

实际上，验证证书的 Windows 操作系统将下载 CRL 以确定证书没有被吊销。但是，如果同一个操作系统无法下载 CRL，那么它只会假设证书可能未撤销。根据正常的X.509 模型，当无法获得吊销状态时，证书应该被拒绝。然而，这意味着应用程序没有启动，消费者会不开心（也就是说，比使用 Windows 已经带来的不开心）；这意味着如果没有可用的 Internet 连接，机器就无法工作，这意味着一些有趣的先有鸡还是先有蛋的问题。

因此，添加一个阻止连接到 Verisign 的 CRL 下载服务器的条目可能有恶意：这允许攻击者使用已撤销的证书（例如，其私钥已在一段时间前被攻击者窃取的证书）签署他的恶意代码，而仍然为该机器保持有效的 Internet 连接。

crl.versign.net

注意拼写

指出制作该主机文件列表的人是粗暴的威瑞信。实际列出的主机似乎不存在，也不会被 Adob​​e 引用。

我会将该行从主机文件中删除，或者更正它，但它似乎是一个错字。我计划删除该行，因为其他应用程序或网站可能需要访问 crl.verisign.net。