SSL证书撤销检查

Question

在SSL协议中，我看不到证书在何处检查吊销状态。

https://developer.mozilla.org/en/Introduction_至_SSL

证书撤销和状态检查是否未在SSL协议中实现？

Answer 1

SSL协议指定服务器向客户端发送证书的方式。然后，客户端应该通过验证证书来“获取”服务器公钥。SSL规范没有描述证书验证；为此，您必须查看X.509，在该过程中，您将看到它比链接到的文档中描述的过程复杂得多。

检查吊销状态是证书验证的一部分。客户端实际上可以自由使用它认为合适的任何方式；许多web浏览器通过类似于“mmhh.它可能不会被撤销，不需要检查任何东西”的进程“检查”撤销状态。在X.509世界中，可以通过下载和验证证书吊销列表( CRL )或从OCSP响应方获得OCSP响应( OCSP响应是一种CRL简化为单个目标证书)来确定吊销状态。理论上，对于所有证书，即服务器证书，以及用于验证服务器证书的中间CA证书，以及用于验证CRL和OCSP响应的所有其他证书(这可以是高度递归的)，都应该获得吊销状态。总成本(特别是在下载时间内)可能会变得令人望而却步，这就是为什么许多客户端依赖一个较弱但速度更快的模型(例如，只检查服务器证书本身的状态，而不是中间CA；或者根本不检查状态)。

无论如何，验证是如何获得服务器公钥的，因此在SSL握手期间，就在客户机发送ClientKeyExchange消息之前发生了验证。

Answer 2

有两种检查证书状态的方法：

• 证书撤销列表；
• 在线证书状态协议 (和可选的OCSP装订方法)。

这两种方法都不是SSL特有的，它们只是检查证书的状态。所以它们都适用于任何使用证书的东西。