證書具有一個指定的壽命,但 CA 可透過稱為證書吊銷的過程來縮短這一壽命。CA 釋出一個證書吊銷列表 (CRL),列出被認為不能再使用的證書的序列號。CRL 指定的壽命通常比證書指定的壽命短得多。CA 也可以在 CRL 中加入證書被吊銷的理由。它還可以加入被認為這種狀態改變所適用的起始日期。
可將下列情況指定為吊銷證書的理由:
洩露金鑰
洩露 CA
從屬關係改變
被取代
業務終止
證書持有(這是唯一讓您能夠改變被吊銷證書狀態的理由碼,在證書狀態有問題的情況下非常有用)
在驗證簽名期間,應用程式可以檢查 CRL,以確定給定證書和金鑰對是否仍然可信(有些應用程式使用 CryptoAPI 中的 Microsoft 證書鏈驗證 API 來完成此任務)。如果不可信,應用程式可以判斷吊銷的理由或日期對使用有疑問證書是否有影響。如果該證書被用來驗證簽名,且簽名的日期早於 CA 吊銷該證書的日期,那麼該簽名仍被認為是有效的。
中文意思:證書吊銷列表
英文:Certificate Revocation List
出處:ITU/T X.509 | ISO/IEC 9594-8:2001,GB/T 16264.8-2005
定義:一個被簽署的列表,它指定了一套證書釋出者認為無效的證書。除了普通CRL外,還定義了一些特殊的CRL型別用於覆蓋特殊領域的CRL。
解釋:CRL一定是被CA所簽署的,可以使用與簽發證書相同的私鑰,也可以使用專門的CRL簽發私鑰。CRL中包含了被吊銷證書的序列號。
證書吊銷
證書具有一個指定的壽命,但 CA 可透過稱為證書吊銷的過程來縮短這一壽命。CA 釋出一個證書吊銷列表 (CRL),列出被認為不能再使用的證書的序列號。CRL 指定的壽命通常比證書指定的壽命短得多。CA 也可以在 CRL 中加入證書被吊銷的理由。它還可以加入被認為這種狀態改變所適用的起始日期。
可將下列情況指定為吊銷證書的理由:
洩露金鑰
洩露 CA
從屬關係改變
被取代
業務終止
證書持有(這是唯一讓您能夠改變被吊銷證書狀態的理由碼,在證書狀態有問題的情況下非常有用)
在驗證簽名期間,應用程式可以檢查 CRL,以確定給定證書和金鑰對是否仍然可信(有些應用程式使用 CryptoAPI 中的 Microsoft 證書鏈驗證 API 來完成此任務)。如果不可信,應用程式可以判斷吊銷的理由或日期對使用有疑問證書是否有影響。如果該證書被用來驗證簽名,且簽名的日期早於 CA 吊銷該證書的日期,那麼該簽名仍被認為是有效的。
應用程式獲得 CRL 之後,由客戶機快取 CRL ,在它到期之前客戶機將一直使用它。如果 CA 釋出了新的 CRL,擁有有效 CRL 的應用程式並 不 使用新的 CRL,直到應用程式擁有的 CRL 到期為止。