一、證書吊銷列表(CRL)
證書吊銷列表(Certificate Revocation List,簡稱:CRL)是PKI系統系統中的一個結構化的數據文件,該文件包含了證書頒發機構(CA)已經吊銷的證書的序列號及其吊銷日期。CRL文件中還包含證書頒發機構信息、吊銷列表失效時間和下一次更新時間、以及采用的簽名算法等。證書吊銷列表最短的有效期為1個小時,一般為1天,甚至1個月不等,由各個證書頒發機構在設置其證書頒發系統時設置。如下圖所示:
證書吊銷列表分發點(CRL Distribution Point,簡稱CDP)是包含在數字證書中的一個可以供各種應用軟件自動下載最新的CRL的位置信息。一個CDP通常出現在數字證書的詳細信息選項卡的CRL分發點,一般會列出多個使用不同的訪問方法,以確保如Web瀏覽器和Web服務器程序始終可以獲取最新的CRL。CDP一般是一個可以訪問的url地址,如下圖所示:
二、證書吊銷列表(CRL)與證書狀態在線查詢協議(OCSP)
講到吊銷列表,就不得不講講OCSP,Online Certificate Status Protocol,證書狀態在線查詢協議,是IETF頒布的用於實時查詢數字證書在某一時間是否有效的標准。
上面已經提到,一般CA都只是每隔一定時間(幾天或幾個月)才發布新的吊銷列表,可以看出:CRL是不能及時反映證書的實際狀態的。而OCSP就能滿足實時在線查詢證書狀態的要求。它為電子商務網站提供了一種實時檢驗數字證書有效性的途徑,比下載和處理CRL的傳統方式更快、更方便和更具獨立性。請求者發送查詢請求,OCSP服務器會放回證書可能的三個狀態:正常、吊銷和未知。
OCSP服務由獨立的OCSP服務器來提供服務,OCSP也是一個可以訪問的url地址,如下圖所示:
三、證書吊銷列表(CRL)的作用
那么,證書吊銷列表起什么作用?瀏覽器在使用https://訪問已經部署了SSL證書的網站時,一定會先檢查此SSL證書是否已經被吊銷,也就是說會查詢吊銷列表或OCSP服務,如果此證書已經被證書頒發機構吊銷,則會顯示告警信息:“此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向服務器發送的數據。建議關閉此網頁,並且不要繼續瀏覽該網站。”
值得注意的是:目前有些CA頒發的證書和大部分自簽的SSL證書都沒有提供吊銷列表(CRL)服務或證書吊銷列表分發點是不可訪問的,當然更別提OCSP服務,這是非常危險的,因為如果證書丟失或被盜而無法吊銷的話,就極有可能被用於非法用途而讓用戶蒙受損失。
