Wie wir heute gelernt haben prüft Java Zertifikate per Default nicht auf Revocation (CRL oder OCSP).
Abhilfe über Loginscript: AppData/Local AppData ermitteln (SpecialFolders oder HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell FoldersLocalAppData, siehe auch unten) und dort eine Datei deployment.properties mit folgendem Inhalt erstellen/hin kopieren:
# Allow user to grant permissions to signed content (true by default)
deployment.security.askgrantdialog.show=true
# Allow user to grant permissions to content from an untrusted authority (true by default)
deployment.security.askgrantdialog.notinca=false
# Check publisher certificate for revocation (false by default)
deployment.security.validation.crl=true
# Enable online certificate validation (false by default)
deployment.security.validation.ocsp=true
Vorsicht XP/2003 und Vista/7/8/2008/2008R2/2012 verhalten sich hier scheinbar unterschiedlich – bzw. tun dies auch verschiedene Java Versionen – sodass die Datei manchmal im Roaming Teil von AppData gesucht wird und manchmal im LocalLow Bereich (für den es weder einen SpecialFolder noch einen Registrykey gibt – ich hänge einfach “Low” and den bei LocalAppData ermittelten Pfad an). Einfach überall hinkopieren und man ist vor Überraschungen gefeit 😀