Certificates

CRL 是如何實現的?

  • August 7, 2019

我學習的來源是:-

CRL(證書撤銷列表)是檢查證書離線狀態的主要手段。

但我似乎無法理解單個設備(智能手機、電腦等)如何儲存已撤銷的每個證書的狀態?包含已撤銷的每一個證書,證書轉儲會不會變得有點太大?

終端實體(電話、PC 等)不儲存 CRL 文件。我的意思是不會永久儲存。:)

在證書中有一個名為 CRL 分發點的欄位,可以在其中下載 CRL 文件。這些文件由 CA 頒發並包含已撤銷證書的列表。在驗證過程中,下載此文件並根據證書序列號進行檢查。

如果列表不包含序列號,則表示它沒有被撤銷。這並不意味著它是有效的,但沒有被撤銷。

由於這些文件可能會變得非常大,因此下載每個證書驗證並不是最佳做法,因為它會導致巨大的網路負載。這就是為什麼在驗證器可以記憶體下載的 CRL 文件並定期檢查的地方使用 CRL 記憶體的原因。但是,如果證書被吊銷並且在記憶體的時間範圍內發布了新的 CRL 文件,它可能會給出假陰性結果。

引用自:https://crypto.stackexchange.com/questions/72424