證書吊銷列表 CRL 介紹

2021-09-08 22:15:31 字數 1101 閱讀 2743

一、證書吊銷列表(crl)

證書吊銷列表 (certificate revocation list ,簡稱: crl) 是 pki 系統中的乙個結構化資料檔案,該檔案包含了證書頒發機構 (ca) 已經吊銷的證書的序列號及其吊銷日期。 crl 檔案中還包含證書頒發機構資訊、吊銷列表失效時間和下一次更新時間,以及採用的簽名演算法等。證書吊銷列表最短的有效期為乙個小時,一般為 1 天,甚至乙個月不等,由各個證書頒發機構在設定其證書頒發系統時設定。如下圖所示:

三、證書吊銷列表(crl)的作用

那麼,證書吊銷列表起什麼作用?為了演示,我們在測試站點上部署了一張吊銷了的ssl證書, 。上面已經提到是供有關軟體查詢證書是否被吊銷,還是讓我們來看看瀏覽器是如何查詢吊銷列表的。 瀏覽器在使用 https:// 訪問已經部署了 ssl 證書的**時,一定會先檢查此 ssl 證書是否已經被吊銷,也就是說會查詢吊銷列表或 ocsp 服務, 如果此證書已經被證書頒發機構吊銷,則會顯示警告資訊: 「此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器傳送的資料。建議關閉此網頁,並且不要繼續瀏覽該**。 」

值得注意的是:目前有些 ca 頒發的證書和大部分自簽ssl證書都沒有提供吊銷列表 (crl) 服務或證書 吊銷列表分發點是不可訪問的 ,當然更別提 oscp 服務,這是非常危險的,因為如果證書丟失或被盜而無法吊銷的話,就極有可能被用於非法用途而讓使用者蒙受損失。

證書吊銷列表 CRL 介紹

一 證書吊銷列表 crl 證書吊銷列表 certificate revocation list 簡稱 crl 是 pki 系統中的乙個結構化資料檔案,該檔案包含了證書頒發機構 ca 已經吊銷的證書的序列號及其吊銷日期。crl 檔案中還包含證書頒發機構資訊 吊銷列表失效時間和下一次更新時間,以及採用的...

實現CRL中吊銷列表按日期排序

專案原來設計只要求讀取crl中吊銷列表的序列號和吊銷日期,所以並未考慮排序的問題,但是後來又要求按照吊銷日期進行排序。下面是原來的程式,顯示出來的吊銷列表順序是亂的,和證書上的順序不一致。certificatefactory cf certificatefactory.getinstance x.5...

go與證書crl實踐

在證書中,crl 證書登出列表 是乙個很重要的東西,證書一旦發出,那麼就無法收回。證書的有效性的判斷就會有點麻煩。一種方法就是通過證書的有效期,但是這種方法存在問題,萬一使用者的私鑰丟失,使用者向ca提交證書的吊銷請求。ca對該使用者使用的這張證書進行了吊銷。這張證書就應該是失效的。對於這種情況有兩...