Go-加密学(七) - 证书吊销列表(CRL)

最新推荐文章于 2024-04-30 09:54:13 发布
最新推荐文章于 2024-04-30 09:54:13 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: go 文章标签: ssl 网络协议 网络
原文链接:https://www.cnblogs.com/chengxiangbei/p/13878585.html
版权

目录

一、证书吊销列表(CRL)

 二、证书吊销列表(CRL)与证书状态在线查询协议(OCSP)

 三、证书吊销列表(CRL)的作用

一、证书吊销列表(CRL)

  证书吊销列表(Certificate Revocation List,简称:CRL)是PKI系统系统中的一个结构化的数据文件,该文件包含了证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期。CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间、以及采用的签名算法等。证书吊销列表最短的有效期为1个小时,一般为1天,甚至1个月不等,由各个证书颁发机构在设置其证书颁发系统时设置。如下图所示:

证书吊销列表分发点(CRL Distribution Point,简称CDP)是包含在数字证书中的一个可以供各种应用软件自动下载最新的CRL的位置信息。一个CDP通常出现在数字证书的详细信息选项卡的CRL分发点,一般会列出多个使用不同的访问方法,以确保如Web浏览器和Web服务器程序始终可以获取最新的CRL。CDP一般是一个可以访问的url地址,如下图所示:

 

 

 二、证书吊销列表(CRL)与证书状态在线查询协议(OCSP)

  讲到吊销列表,就不得不讲讲OCSP,Online Certificate Status Protocol,证书状态在线查询协议,是IETF颁布的用于实时查询数字证书在某一时间是否有效的标准。

  上面已经提到,一般CA都只是每隔一定时间(几天或几个月)才发布新的吊销列表,可以看出:CRL是不能及时反映证书的实际状态的。而OCSP就能满足实时在线查询证书状态的要求。它为电子商务网站提供了一种实时检验数字证书有效性的途径,比下载和处理CRL的传统方式更快、更方便和更具独立性。请求者发送查询请求,OCSP服务器会放回证书可能的三个状态:正常、吊销和未知。

  OCSP服务由独立的OCSP服务器来提供服务,OCSP也是一个可以访问的url地址,如下图所示:

 

 三、证书吊销列表(CRL)的作用

  那么,证书吊销列表起什么作用?浏览器在使用https://访问已经部署了SSL证书的网站时,一定会先检查此SSL证书是否已经被吊销,也就是说会查询吊销列表或OCSP服务,如果此证书已经被证书颁发机构吊销,则会显示告警信息:“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。” 

 值得注意的是:目前有些CA颁发的证书和大部分自签的SSL证书都没有提供吊销列表(CRL)服务或证书吊销列表分发点是不可访问的,当然更别提OCSP服务,这是非常危险的,因为如果证书丢失或被盗而无法吊销的话,就极有可能被用于非法用途而让用户蒙受损失。

转自: 证书吊销列表(CRL) 

xiangjai
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
行业文档-设计装置-房屋产权证书加密防伪设备.zip
08-27
行业文档-设计装置-房屋产权证书加密防伪设备.zip
何为证书吊销列表CRL?
bytxl的专栏
01-28 3535
http://blog.163.com/liu_sheng_han/blog/static/190591372201202710340212/ 证书具有一个指定的寿命,但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL),列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书吊销的理由。它还可
PKI术语:CRL、增量 CRL、CTL、OCSP、LDAP、AIA、CDP、名称约束、证书模板
smmi的专栏
10-19 2948
1. 证书吊销列表 (CRL):由 CA 颁发的数字签名列表,其中包括由 CA 颁发而且已经被吊销证书。该列表包括被吊销证书序列号、证书吊销的日期和吊销原因。应用程序能够执行 CRL 检查以便确定所示证书吊销状态,也称为基本 CRL(相对于增量CRL)。 2. 增量 CRL:包括自从发布上一个基本 CRL 以来被吊销证书列表CRL。增量 CRL 经常被用于吊销大量证书,以便优化带...
crlset-tools: 实时监控证书吊销列表的便捷工具
gitblog_00041的博客
03-17 350
crlset-tools: 实时监控证书吊销列表的便捷工具 项目简介 crlset-tools 是一个用于实时监控证书吊销列表CRL)的实用工具集。它可以帮助系统管理员、安全工程师和其他技术人员在管理认证授权系统时,更轻松地获取和分析 CRL 数据。 通过使用 crlset-tools,您可以: 监控一组证书颁发机构 (CA) 的吊销列表 收集 CRL 数据并将其存储为本地文件或数据库 检查给...
SSL证书转换
hintcnuie
05-18 151
PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有:PKCS#7 Cryptographic Message Syntax StandardPKCS#10 Certification Request StandardPKCS#12...
go与证书crl实践
hsulei的博客
01-12 3476
go与证书crl实践一些说明在证书中,CRL(证书注销列表)是一个很重要的东西,证书一旦发出,那么就无法收回。证书的有效性的判断就会有点麻烦。一种方法就是通过证书的有效期,但是这种方法存在问题,万一用户的私钥丢失,用户向CA提交证书吊销请求。CA对该用户使用的这张证书进行了吊销。这张证书就应该是失效的。对于这种情况有两种方式进行检测: CRL OCSP CRL方法存在一些缺点:其一,CRL不可能
数字证书的有效性验证
sunboy2718的专栏
08-05 7093
最近在做数字证书有效性验证的接口,主要是从数字证书的有效期、颁发根证书CRL进行验证,下面我就从这几个方面来说数字证书的有效性验证。 一、有效期 证书的有效期验证这个比较简单,就是使用时间在必须在证书起始和结束日期之间才有效,通过解析X.509对象很容易获取起止时间,判断证书有效期代码如下:         /// /// 有效期验证 ///
CRL介绍
好习惯成就伟大
11-17 4924
证书撤销列表(Certificate Revocation List,简称CRL),是一种包含撤销的证书列表的签名数据结构。CRL证书撤销状态的公布形式,CRL就像信用卡的黑名单,用于公布某些数字证书不再有效。 CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL可以分为完全CRL和增量CRL。在完全CRL中包含了所有的被撤销证书信息,增量CRL由一系列的CRL来表明被撤销的证书信息,它每次发布的CRL是对前面发布CRL的增量扩充。 基本的CRL信息有:被撤销证书序列号、撤销时间、撤销原因、
证书吊销列表(Certificate Revocation List,CRL
渡安H的博客
05-17 4502
证书吊销列表(Certificate Revocation List,CRL)一个被签署的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRLCRL一定是被CA所签署的,可以使用与签发证书相同的私钥,也可以使用专门的CRL签发私钥。CRL中包含了被吊销证书的序列号。 证书具有一个指定的寿命,但 CA 可通过称为证书吊销的过程来缩...
证书吊销列表(CRL)简单介绍与相关openssl C api功能测试
TappaT的博客
05-13 1885
在近期的工作项目中涉及到了证书吊销列表(CRL)相关的一些知识,打算记录一下自己写的一个通过CRL验证自签名证书有效性的测试程序,并分享遇到的一些坑。
java 生成crl吊销列表_【安全】吊销列表的使用
weixin_33481022的博客
02-24 1185
吊销列表吊销列表(Certificate Revocation List)列出不能再使用的证书吊销列表文件具有两种格式:一种是二进制格式,使用DER的编码格式,DER是BER编码规则的一个子集;文件名以.crl结尾。另外一种是文本格式,使用的是Base64编码并且带头带尾的特定格式,Base64是用于将不可见字符转换为可见字符的一种编码;文件名以.pem结尾。吊销列表内容吊销列表文件包含以下内容...
拆解一份证书撤销列表CRL
yhl4k的博客
03-31 521
CRL(作废)证书 可以制作单个作废证书,也可以制作作废证书链; 1、版本号 V2 Version 2、签名算法OID Signature Algorithm Identifier 3、签发者 Issuer(各项名字的集合) 4、作废证...
Go-go语言封装的各种对称加密和非对称加密
08-13
go语言封装的各种对称加密和非对称加密,可以直接使用,包括3重DES,AES的CBC和CTR模式,还有RSA非对称加密
Go-KubernetesCertificateManager管理一个Kubernetes群集人Lets加密证书
08-14
Kubernetes Certificate Manager:管理一个Kubernetes群集人Lets 加密证书
iOS--RSA加密文件(带证书)
09-21
iOS--RSA文件包括所需证书,我博客有相应的加密代码
行业分类-设备装置-加密签名手写终端.zip
09-01
行业分类-设备装置-加密签名手写终端.zip
nginx下载安装配置(含ssl)
最新发布
qq_36854073的博客
04-30 138
【代码】nginx下载安装配置(含ssl)
公网ip申请ssl仅260
04-29 354
现在市面上的IP SSL证书大多数都是DV基础型的IP SSL证书,例如Certum旗下的DV基础型单IP SSL证书,价格是二百六十元,用户在申请时不需要提供额外的资料,只需要验证公网IP地址的管理权就可以在3-5分钟颁发证书。1.IP SSL证书通常用于保护使用IP地址访问的网站,而不是使用域名访问的网站。IP SSL证书通常只能保护单个公网IP地址,例如Certum旗下的单IP SSL证书,但是也有可以同时保护多个公网IP地址的IP SSL证书,例如Sectigo旗下的多IP SSL证书
boot https ssl 使用http协议访问报错
I do more ,you do less
04-27 375
在springboot中配置ssl以后, 再次使用http访问对应的接口就会报错。可以考虑如下设置,将http访问的端口重定向到https对应的端口。
CRL number
09-14
CRL number是一个用于标识撤销列表CRL)的唯一数值。根据提供的引用[1]中的信息,CRL number是一个十六进制的数值,可以在一个文本信息中找到。这个文本信息通常包含在CRL文件中,并且用于替代CRL中的数值。如果这个文本文件不存在,那么CRL中将会使用一个有效的默认数值。所以,具体的CRL number取决于这个文本信息中包含的数值。通过查看这个文本文件,您可以找到具体的CRL number值。 : B<crlnumber>: A textual information that contains the hexadecimal CRL number to be used next. If this file exists, the CRL number in the CRL will be replaced. If this file is removed, it must contain a valid CRL number.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值