售前咨询
技术支持
渠道合作

什么是证书吊销列表?

证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。

每一张数字证书都有指定的有效期,当发现证书不安全时,CA机构将通过证书吊销来缩短不安全证书的有效期。CA 机构将发布一个证书吊销列表 (CRL),列出被认为不能再使用的证书的序列号,使证书失效。CRL 指定的失效时间通常比证书原设定时间要短得多。CA 也可以在 CRL 中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个证书颁发机构在设置其证书颁发系统时设置。

被签署的证书吊销列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。

证书吊销列表分发点 (CRL Distribution Point ,简称 CDP) 是含在数字证书中的一个可以共各种应用软件自动下载的最新的 CRL 的位置信息。一个 CDP 通常出现在数字证书的 详细信息选项卡的CRL分发点域,一般会列出多个使用不同的访问方法,以确保如 Web 浏览器和 Web 服务器程序始终可以获取最新的 CRL。CDP通常为一个可以访问 http 网址。

 OCSP (Online Certificate Status Protocol) 证书状态在线查询协议,是IETF颁布的用于实时查询数字证书在某一时间是否有效的标准。

一般 CA 每隔一定时间 ( 几天或几个月 ) 才发布新的吊销列表,可以看出: CRL 是不能及时反映证书的实际状态的。而 OCSP 就能满足实时在线查询证书状态的要求。它为电子商务网站提供了一种实时检验数字证书有效性的途径,比下载和处理 CRL 的传统方式更快、更方便和更具独立性。请求者发送查询请求,OCSP 服务器会返回证书可能的三个状态:正常、吊销和未知。

作用

浏览器在使用 https:// 访问已经部署了 SSL 证书的网站时,一定会先检查SSL 证书是否已经被吊销,也就是说会查询吊销列表或 OCSP 服务, 如果此证书已经被证书颁发机构吊销,则会显示警告信息: “此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”

更多资讯

如何查看证书吊销列表

上一篇:

下一篇:

相关新闻