教育中心

什么是证书吊销,什么时候应该做?

证书吊销是使TLS / SSL在其计划的到期日期之前失效的行为。当证书的私钥显示出被盗用的迹象时,应立即将其吊销。当为其发出证书的域不再可用时,也应撤销该证书。

吊销的证书由CA存储在一个列表中,称为证书吊销列表(CRL)。当客户端尝试启动与服务器的连接时,它会检查证书中的问题,这种检查的一部分是确保证书不在CRL上。 CRL包含证书的序列号和吊销时间。

CRL可能是详尽无遗的,执行检查的客户必须分析整个列表以查找(或找不到)所请求站点的证书。这会导致大量开销,有时证书可能会在该间隔内被吊销。在这种情况下,客户端可能会在不知不觉中接受已撤销的证书。

在线证书状态协议(OCSP)是一种更新的,更复杂的检测已吊销证书的方法。在这里,客户端可以下载有问题的证书到CA,而不是下载和解析整个CRL。然后,CA将证书的状态返回为“良好”,“已撤销”或“未知”。这种方法比CRL所涉及的开销少得多,并且更可靠。

在证书流氓之前进行控制!

30分钟现场演示。

阅读更多→