什么是证书吊销列表?证书吊销列表解释

证书吊销列表

数字证书是安全在线交互的支柱,可验证身份并确保加密通信。然而,当这些证书被泄露或滥用时,必须及时撤销它们以保持信任。这就是证书吊销列表(CRL)的作用所在。证书吊销列表由证书颁发机构(CA)维护,对于在证书造成危害之前识别和吊销证书至关重要。

在本指南中,我们将探讨什么是CRLCRL的功能以及CRL对网络安全至关重要的原因。


目录

  1. 什么是证书吊销列表(CRL)?
  2. CRL 如何工作?
  3. 为什么证书会被吊销?
  4. CRL 与替代方案:OCSP 和证书透明度日志

立即获取 SSL 证书

什么是证书吊销列表(CRL)?

证书吊销列表( CRL 是由证书颁发机构(CA)创建的数字签名文件,其中列出了已吊销的数字证书。由于安全漏洞、密钥泄露或管理变更等原因,这些证书会在预定到期日之前被吊销。CRL 在公钥基础设施(PKI)中至关重要,可防止使用受损证书,从而确保通信安全。

根据X.509 标准RFC 5280 的定义,证书废止列表包含重要的详细信息,如无效证书的序列号、废止时间戳、废止日期,有时还包括废止的具体原因。该机制可确保在验证过程中标记已撤销的证书。


CRL 如何工作?

证书吊销列表是公钥基础设施(PKI)中的一个信任验证系统。当数字证书被吊销时,其详细信息会被添加到由签发证书机构(CA)维护的证书吊销列表(CRL)中。该列表定期更新,并通过指定的证书废止列表分发点(CDP)分发,可通过证书中嵌入的 URL 进行访问。

CRL 流程

网络浏览器或应用程序遇到证书时,会从 CDP 中检索相关的 CRL。检索到的列表会扫描证书序列号,以检查证书吊销状态。如果发现匹配,证书就会被标记为已撤销,并警告用户存在潜在风险,防止用户不恰当地接受证书。这一过程有助于在不安全连接发生之前就加以阻止。

CRL 通常由签发 CA 签署,以确保其真实性并防止篡改。它们包括时间戳和下一次计划更新的详细信息。频繁更新是保持可靠性的必要条件,但也会带来性能挑战,尤其是对于大型 CRL。

CRL 功能面临的挑战

CRL 并非没有局限性。CRL 依赖于定期更新,这就产生了一个延迟窗口,在此期间,被撤销的证书仍有可能被接受。此外,CRL 的大小也会影响效率;较大的列表需要更多资源来解析,导致响应速度变慢,特别是对于处理能力有限的设备。本地缓存 CRL 可以减少一些延迟,但如果错过更新,就会带来额外的风险。


为什么证书会被吊销?

数字证书在其完整性或有效性受到损害时会被撤销,以确保它们不会被滥用来破坏安全系统。证书颁发机构(CA)的这一主动措施可防止恶意行为者利用被吊销的证书绕过安全协议或欺骗用户。

证书可能因各种原因被吊销,包括

  1. 密钥泄露:如果与证书相关的私人密钥暴露或被怀疑泄露,则有必要撤销证书,以减少未经授权的访问。
  2. CA 破坏:当签发 CA 的安全受到破坏时,它签发的所有证书都可能失去可信度。
  3. 错发证书:在签发过程中出现错误,如域名验证不正确,需要撤销和重新签发。
  4. 所有权变更:域名所有权或组织隶属关系的变更往往需要撤销和更换证书。
  5. 停止业务:当证书持有者停止业务或不再控制域名时,撤销可确保证书不被滥用。
购买 SSL 证书可节省 10% 的费用

被破坏的证书对网络安全构成重大风险。未及时标记的废止证书会助长 中间人攻击身份盗窃、数据泄露和恶意软件传播。例如,苹果和谷歌等 CA 的大规模证书废止就凸显了迅速处理漏洞的重要性。


CRL 与替代方案:OCSP 和证书透明度日志

虽然证书吊销列表被广泛用于管理被吊销的证书,但它并不是唯一的方法。替代方法有 在线证书状态协议(OCSP)证书透明度 (CT) 日志等替代方法提供了解决证书信任问题的独特方法。

CRL 与 OCSP

  • CRL依赖于浏览器或应用程序下载并解析的定期更新列表。这种离线方法虽然有效,但可能会造成延迟,尤其是对于大型列表。
  • OCSP允许浏览器直接向 CA 查询特定证书的状态,从而提供实时验证。浏览器无需下载整个列表,只需收到一个简单的回复:”良好”、”已撤销 “或 “未知”。
  • OCSP 装订OCSP Stapling 是一项增强功能,可将负担从客户端转移到服务器。服务器会缓存 OCSP 响应,并在TLS 握手过程中将其 “装订 “到证书上,从而提高性能和保密性。

CRL 与 CT 日志

  • 证书废止列表只关注被吊销的证书,而不涉及过期证书,这就确保了被泄露的证书不可信。
  • 证书透明度日志则记录所有已签发的证书。这些仅有附录的日志可以暴露错误签发或恶意签发的证书,从而提高透明度,但它们不涉及证书吊销状态。

选择正确的方法

CRL 对于批量管理被吊销的证书仍然有效,但可能难以满足可扩展性和实时性的要求。通过 OCSP 及其订书钉变体进行的证书吊销检查提供了更快和更动态的检查,解决了 CRL 的一些局限性。同时,CT 日志是一种补充工具,可确保对证书签发进行监督,但不能确保对证书吊销进行监督。

为了确保全面的安全性,企业通常会将这些方法结合起来。CRL 非常适合需要批量更新的环境,而 OCSP 可提供即时状态检查。CT 日志增加了一层透明度,确保了整个数字生态系统的信任。


使用值得信赖的解决方案确保网站安全

证书吊销列表可确保被吊销的证书不会被用来破坏安全,从而在保护数字通信方面发挥重要作用。

要使用信誉良好的证书颁发机构颁发的可信 SSL 证书来保护您的网站,请使用 SSL Dragon.探索我们广泛的SSL证书系列,让我们帮助你确保安全和值得信赖的数字存在。

立即订购 SSL 证书, 可节省 10% 的费用!

快速发行, 强大加密, 99.99% 的浏览器信任度, 专业支持和 25 天退款保证. 优惠券代码 SAVE10

A detailed image of a dragon in flight
撰写人

经验丰富的内容撰稿人, 擅长 SSL 证书. 将复杂的网络安全主题转化为清晰, 引人入胜的内容. 通过有影响力的叙述, 为提高数字安全作出贡献.