CA可以暂时阻止证书吗？

Question

我是一个开放银行爱好者，我正在学习柏林集团的XS2A框架这些天。在那里，它有一个名为CERTIFICATE_BLOCKED的错误代码。正如对它的描述，它说，

签名/公司印章证书已被ASPSP或相关的NCA所禁止。

我需要理解的是，证书“阻塞”和撤销之间有什么区别？我理解证书颁发机构为什么撤销证书的概念。我们还可以使用OCSP和CRL端点在线验证证书吊销状态。

以下是我需要理解的，

1. 证书“阻塞”和“撤销”有什么区别？
2. 阻塞是暂时的吗？被阻止的证书能否被CA或ASPSP解锁(ASPSP是开放银行上下文中银行的单词)？
3. 有人能阻止证书(ASPSP/NCA)吗？
4. 是否有方法检查证书阻塞状态，如OCSP和CRL端点？

PS:我也查过RFC5280，希望有一个解释。除了来自XS2A柏林开放银行规范之外，我找不到任何关于证书阻塞的信息。

Answer 1

RFC5280中没有阻止证书的规范，但是可以使用证书的暂停和持有来暂时撤销证书：

1. 根据RFC5280证书，可以搁置CRL原因为" certificateHold“：如果证书是有效的，并且是在引用的基本CRL上列出的，或者后面的CRL中有原因代码certificateHold，并且原因代码certificateHold包含在CRL的范围内，则用原因代码removeFromCRL列出证书。CA可用于临时撤消证书。如果原因代码为certificateHold，CA可以撤消证书。
2. 证书暂停也用于暂时挂起证书，但不超过60天。如果暂停期超过这段时间，证书肯定会由CA撤回。

阻止证书可能与上述任何一项理由有关。然而，可能还有其他原因以及ASPSP的规范。

有人能阻止证书(ASPSP/NCA)吗？

开放银行有一个QTSP的参与小组(有资格提供可信的证书)。在这里可以找到可信CA的列表，链接

因此，我认为这些可信CA列表可以撤销证书。

是否有方法检查证书阻塞状态，如OCSP和CRL端点？

请参阅OCSP和CRL的可信CA列表。

Answer 2

1. 证书可以被撤销或暂停。我相信在你的案子中被阻止是指停职。当涉及到PKI管理时，暂停是一个更常用的术语，这就是为什么您找不到很多参考的原因。
2. 暂停是暂时的，可以取消。通常情况下，当您丢失政府电子身份证(包含合格的数字证书)后才会找到它。撤销是永久的。
3. 我不知道"ASPSP/NCA“执行什么功能，但如果它们是根CA或中间CA，则可以挂起/取消挂起和撤消证书。
4. 已被暂时吊销的证明书，确实会在CRLs (以及已被撤销的证书)上公布。