如何验证SSL证书？

Question

它是仅通过hashsum在本地控制，还是浏览器与CA的via服务器联系以验证证书？

Answer 1

浏览器将在本地缓存不同根权限的公钥。如果您使用windows，偶尔会看到名称中有“根证书”的更新，这就是它的情况。对于有效的证书，层次结构可以追溯到有效根CA的公钥，可能通过几个转卖商。

可以对证书进行自我签名，并且当您第一次使用这样的证书访问站点时，您将收到警告，它将询问您是否希望继续，如果要将密钥添加到浏览器中的受信任密钥列表中，则停止再次发出警告--并且会被告知密钥是否发生了更改。

Answer 2

CRL或证书吊销列表非常重要。根据浏览器，颁发的证书可能有效，因为浏览器信任证书的根CA (证书颁发机构)。但是CA总是可以撤销它所颁发的证书。浏览器知道它已被撤销的唯一方法是检查CRL。证书通常附带CRL地址，但默认情况下，并非所有浏览器都关心CRL列表是否可用。我记得，至少有一个版本的IE只是假定，如果它是一个有效的颁发证书，这是足够好的，如果它不能正确地联系CRL。也就是说，如果我看不出你是否被撤销了，我就假设没有。