证书吊销是一个过程,在该过程中,如果信赖方未使用证书,则该证书将声明为无效。它区分有效证书和无效证书或不受信任的证书。吊销证书意味着在证书到期日之前使其失效。
当设备遭到入侵或员工退出公司时,将进行吊销。此外,当设备重新注册证书时,证书将被吊销。
证书吊销列表
CRL 是一个列表,用于存储有关已吊销的数字证书的信息。它是公钥基础结构 (PKI) 的重要组成部分。吊销的证书存储在证书吊销列表中,但过期的证书不会转到 CRL,因为传递的凭据将被拒绝。它在身份验证的第一步就被留下了,并且存储在CRL中的证书在过期时会自动从列表中删除。
CRL 包含证书的序列号和吊销时间。
断续器和断续器之间的区别
证书透明日志(CTL)通常被误解为CRL,但两者的功能却大不相同。CT 日志和 CRL 是不同的,它们都处理 X.509 数字证书,但它们是两个独立的过程。CT 日志是一种方法,CA 通过该方法记录域的组织正在颁发的每个证书。它就像一个证书清单,而CRL只存储被吊销的证书的记录。
在线证书状态协议
有一种最新和先进的证书吊销方法,称为OCSP。证书颁发机构利用联机证书状态协议 (OCSP) 来检查 X. 509 数字证书的吊销状态。
OCSP更可靠,使用范围更广,因为在这种方法中,客户端可以将有问题的证书提交给CA,而不是下载和解释完整的CRL。然后,CA 将使用证书的状态进行响应。