答:證書吊銷列表 (Certificate Revocation List ,簡稱: CRL) 是 PKI 系統中的一個結構化數據文件,該文件包含了證書頒發機構 (CA) 已經吊銷的證書的序列號及其吊銷日期。 CRL 文件中還包含證書頒發機構信息、吊銷列表失效時間和下一次更新時間,以及採用的簽名算法等。證書吊銷列表最短的有效期爲一個小時,一般爲 1 天,甚至一個月不等,由各個證書頒發機構在設置其證書頒發系統時設置。如下圖 1 和圖 2 所示:
證書吊銷列表分發點 (CRL Distribution Point ,簡稱 CDP) 是含在數字證書中的一個可以共各種應用軟件自動下載的最新的 CRL 的位置信息。一個 CDP 通常出現在數字證書的 詳細信息 選項卡的 CRL 分發點 域,一般會列出多個使用不同的訪問方法,以確保如 Web 瀏覽器和 Web 服務器程序始終可以獲取最新的 CRL 。 CDP 一般是一個可以訪問 http 網址, 如下圖 3 所示:
講到吊銷列表,就不得不講講 OCSP , Online Certificate Status Protocol, 證書狀態在線查詢協議, 是 IETF 頒佈的用於實時查詢數字證書在某一時間是否有效的標準。
上面已經提到,一般 CA 都只是 每隔一定時間 ( 幾天或幾個月 ) 才發佈新的吊銷列表,可以看出: CRL 是 不能及時反映證書的實際狀態的。而 OCSP 就能滿足實時在線查詢證書狀態的要求。它爲電子商務網站提供了一種實時檢驗數字證書有效性的途徑,比下載和處理 CRL 的傳統方式更快、更方便和更具獨立性。請求者發送查詢請求, OCSP 服務器會返回證書可能的三個狀態:正常、吊銷和未知。
OCSP 服務由獨立的 OCSP 服務器來提供服務,目前WoSign新證書頒發系統支持 OCSP 方式查詢證書狀態。 OCSP 也是一個可以訪問的 http 網站,如下圖 4 所示:
那麼,證書吊銷列表起什麼作用?上面已經提到是供有關軟件查詢證書是否被吊銷,還是讓我們來看看瀏覽器是如何查詢吊銷列表的。 瀏覽器在使用 https:// 訪問已經部署了 SSL 證書的網站時,一定會先檢查此 SSL 證書是否已經被吊銷,也就是說會查詢吊銷列表或 OCSP 服務, 如果此證書已經被證書頒發機構吊銷,則會顯示警告信息: “此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向服務器發送的數據。建議關閉此網頁,並且不要繼續瀏覽該網站。 ” 如下圖 5 所示,如果您已經看到瀏覽器能正常顯示安全鎖標誌,則說明此 SSL 證書沒有被吊銷。
值得注意的是: 目前有些 CA 頒發的證書和大部分自籤SSL證書都沒有提供吊銷列表 (CRL) 服務或證書 吊銷列表分發點是不可訪問的 ,當然更別提 OSCP 服務,這是非常危險的,因爲如果證書丟失或被盜而無法吊銷的話,就極有可能被用於非法用途而讓用戶蒙受損失。
