证书颁发机构 - 证书吊销过程
Certificate Authority - certificate revocation process
当证书颁发机构撤销数字证书时,浏览器如何知道此证书无效。
浏览器是否每次都检查吊销列表?
浏览器不知道 CA 可能已吊销的每个证书。但是,当它遇到必须验证的证书(即 SSL 证书)时,它将对其进行验证。
当浏览器必须验证证书时,它会构建证书链直到受信任的根 CA,并且对于链中的每个元素,它都会检查吊销列表。受信任的根权限列表与浏览器捆绑在一起。
吊销列表可以缓存,因为其中有到期日期 (not_after)。
如果证书中有 link OCSP,则浏览器可以(根据其设置)使用 OCSP 而不是 CRL 来检查证书的有效性。
当证书颁发机构撤销数字证书时,浏览器如何知道此证书无效。
浏览器是否每次都检查吊销列表?
浏览器不知道 CA 可能已吊销的每个证书。但是,当它遇到必须验证的证书(即 SSL 证书)时,它将对其进行验证。
当浏览器必须验证证书时,它会构建证书链直到受信任的根 CA,并且对于链中的每个元素,它都会检查吊销列表。受信任的根权限列表与浏览器捆绑在一起。
吊销列表可以缓存,因为其中有到期日期 (not_after)。 如果证书中有 link OCSP,则浏览器可以(根据其设置)使用 OCSP 而不是 CRL 来检查证书的有效性。