OCSP、CRL和CDP的差异

Question

OCSP、CRL和CDP有什么区别？OCSP和CRL是否相同？我们可以不配置OCSP而使用CRL吗？

Answer 1

证书吊销列表(CRL)是已撤销证书的列表。它不包含证书本身，而是主要包含序列号。该证书由颁发这些证书的CA直接或间接签署。CRL可能非常大，因为它可以包含大量的撤销。要检查证书是否被撤销，客户端必须下载列表(或有最近的副本)，然后在列表中查找当前证书的序列号。如果在那里找不到，它就不会被撤销。

证书本身指定特定证书的CRL位置(即下载位置)为CRL分发点(CDP)。

因为CRL包含了大量证书的信息，所以它们通常很大，因此不适合快速撤销检查。相反，联机证书状态协议( OCSP )只检查特定的证书，并询问OCSP响应程序该证书是否被撤销。OCSP响应者快速返回此特定信息，该信息再次由证书颁发方直接或间接签名。为了更快地进行吊销检查，服务器可以定期检索当前的OCSP响应，并在TLS握手中将其发送给客户端。使用这种"OCSP装订“，客户端不需要显式地向OCSP响应方请求撤销信息，因为客户端已经拥有这些信息。

我们可以不配置OCSP而使用CRL吗？

是。

Answer 2

CRL与OCSP之间的区别在于，对于CRL，您需要下载整个证书链，而使用OCSP，您只需查询CA以检查您收到的证书是否有效。

CDP，afaik，这只是CRL的一部分