客户端是否在SSL握手时向CA发送请求？

Question

换句话说，如果证书颁发机构倒闭，这是否意味着所有从此CA购买SSL证书的HTTPS站点也将不可用？

Answer 1

差不多吧。浏览器在不与CA联系的情况下验证证书由CA颁发。但从那时起，证书可能就被撤销了，例如，因为网站的私钥泄露了。若要验证证书尚未被撤销，浏览器需要与CA的CRL或OCSP站点联系。如果出现故障，则无法知道证书是否已被撤销。在实践中，因为保持这些站点的运行成本很高，所以它们通常处于瘫痪状态，而现代浏览器要么不检查，要么尝试检查，但如果CA无法访问，则不要失败连接。因此，如果证书的CA被关闭，它将继续工作。如果CA永久关闭，则无法撤消证书，这是一个问题。

为了解决CRL和OCSP的可扩展性问题，提出了OCSP装订。您的站点每天与CA联系一次，以获得一张签名的便条，上面写着“此时证书尚未被撤销”，并将此签名便条传递给浏览器。这就留下了一个窗口，在这一天，证书可能被撤销，您的浏览器不会怀疑任何事情，这比我们现在拥有的更好。

Answer 2

不是的。CA的根证书通常安装在客户端的证书存储区中。当客户端发出握手请求时，他们从站点(我将称为example.com)接收证书。example.com的证书将包括根证书和中间证书，客户端(在本例中为浏览器)将检查它的证书存储区，以查看它是否包含根证书。

基本上，如果CA的网站崩溃，它对从CA购买证书的网站没有任何影响。