证书撤销

最新推荐文章于 2022-10-29 14:56:27 发布
最新推荐文章于 2022-10-29 14:56:27 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: security 文章标签: ca ra security crl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhglhy/article/details/84051599
版权
当数字证书出现异常情况如私钥泄露或违规使用时,证书需及时撤销。撤销过程涉及订户、RA、CA和CRL,确保证书安全。CRL和OCSP是常见的证书状态查询方式,前者通过定期发布列表,后者提供实时在线查询,而CRT则是二叉HASH树的解决方案,平衡效率与安全性。
摘要由CSDN通过智能技术生成

数字证书的“生命”不一定会延续到失效日期。

  当订户个人身份信息发生变化,或者订户私钥丢失、泄露或者疑似泄露时,证书订户应及时地向CA提出证书的撤销请求,CA也应及时地把此证书放入公开发布的证书撤销列表。证书的撤销也表示了证书生命的终结。

  此外,数字证书在一些特殊情况下也可能在其失效日期之前被撤销。例如,数字证书订户没有按时向CA公司缴纳年费,数字证书订户擅自将证书进行了CA所不允许的用途且被CA发现,或者政府机关等权力部门(超出PKI系统技术范畴但是具有法律行政权力的部门单位)提出对尚处于有效期内的某数字证书的撤销要求。

  当发生上述各种情况时,相应的数字证书继续正常使用可能会造成较为严重的影响,应当及时撤销。比如私钥泄露,可能会被其它获得此私钥的实体仿造数字签名去签署各种电子文件等,造成不可预计的各种结果包括经济损失。

  CA一般采用证书撤销列表的方式将被撤销的证书告知其他订户,CRL中列举着所有在有效期内但被撤销的数字证书。

  证书撤销的流程如下:

  1. 订户或者其上级单位向RA提出撤销请求;

  2. RA审查撤销请求;

  3. 审查通过后,RA将撤销请求发送给CA或者CRL签发机构;

  4. CA或者CRL签发机构修改证书状态,并签发新的CRL。

  当该数字证书被放入CRL后,数字证书则被认为失效。注意,失效并不意味着无法被使用。如果窃取到甲的私钥的乙用甲的私钥签名了一份文件发送给丙,并附上甲的证书,如果丙忽视了对CRL的查看,丙就依然会用甲的证书成功的验证这份非法的签名,并会认为甲确实对这份文件签名。

  随之而来一个话题,就是如何让各依赖方能够容易、及时、正确

最低0.47元/天 解锁文章
zhglhy
关注
专栏目录
HTTPS证书撤销
diyu8056的博客
10-14 194
如果浏览器信息被拦截,可以选择清洗掉之前的证书 关闭浏览器,在CMD输入命令 certutil -urlcache *     certutil -urlcache * delete     certutil -urlcache crl     certutil -urlcache crl delete 转载于:https://www.cnblogs.com/...
OpenSSL命令验证证书是否被撤销
冰冻三尺非一日之寒
04-13 2748
OpenSSL命令验证证书是否被撤销前言    验证证书是否被撤销。脚本代码    #!/bin/sh if [[ "$1" = "" || "$2" = "" || "$3" = "" ]]; then echo "certSignVerify.sh CAfile certfile crl" exit 0; fi res=`o
PKI密码学学习笔记
最新发布
weixin_46422732的博客
10-29 2529
PKI密码学的一些知识点,希望对你有所帮助!
“心脏出血”后续:证书撤销的安全隐患
指尖跳动的灵魂
06-05 1187
原标题:Heartbleed漏洞曝光后 证书撤销引起的问题 Heartbleed是一个严重漏洞,它可能允许攻击者访问密码、加密密钥以及使用OpenSSL发送到服务器的其他信息。在这个漏洞被曝光后,很多公司 开始争先恐后地修复其系统和撤销安全证书。但是修复几十万(尚且不说几百万)系统不是简单的事情,而且需要一定时间,同时,大量重新注册的SSL证书和广 泛的撤销证书也会带来严重影响。 当内
你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题!
涛哥聊Python
02-01 2109
鼠年大吉HAPPY 2020'S NEW YEAR来源:安全客地址:https://url.cn/5WvQjVs本文仅作学术分享,若侵权,请联系后台删文处理缘起偶刷《长安十二时辰...
一种新型的证书撤销列表 (2007年)
05-22
证书撤销机制进行了研究。指出基于有序顺序表的证书撤销列表方案的不足,提出一种基于二叉排序树的CRL方案。通过分析表明,该方案与传统CRL相比,能够减少证书用户查找撤销证书的平均查询次数,克服了顺序CRL在...
Ad Hoc网络的分布式证书撤销方案.pdf
08-11
传统的集CA(Certification Authority)系统在大规模分布式网络环境存在效率低下和单点故障的问题,因此,分布式证书撤销方案显得尤为重要。莫杰和王晓明提出了一种新的分布式证书撤销方案,该方案基于以下几...
引入动态权重的车联网节点证书撤销机制.pdf
07-16
根据所提供的文件内容,本文将详细解释“引入动态权重的车联网节点证书撤销机制”的关键知识点。车联网(VANET)是一种以车辆为节点的移动自组织网络,它利用无线通信技术在车辆之间交换信息,主要实现智能化交通...
一种基于P2P共享下载模式的证书撤销机制
10-21
**公钥基础设施(PKI)与证书撤销机制** 公钥基础设施(PKI)是现代网络安全的基础,它基于公开密钥加密技术,为网络用户提供身份验证、数据完整性、不可否认性和保密性等安全服务。在PKI,数字证书是用于确认网络...
CISSP考试要求里的“应用密码学”内容辅助记忆趣味串讲
qq_33163046的博客
12-10 9358
前言 密码学为数据的处理、存储和通信过程提供附加的安全级别。近年来,数学家和计算机科学家开发了一系列日益复杂的算法,这些算法被设计用于确保机密性、完整性、身份认证和不可否认性。在密码学家花费大量时间开发强加密算法的同时, 黑客们和政府同样投入了可观的资源来破解这些密码学算法。这产生了密码学领域的"军备竞赛",并且导致如今使用的极其精密的算法的不断发展。 本文将紧密围绕CISSP认证考试的CBK3”安全工程”考纲要求,汇合了《CISSP官方认证学习指南》第六、七章和《CISSP认证考试指南》第三章有...
求大佬细分OCSP协议、LDAP目录访问协议、CA证书库、LDAP目录服务器、LDAP目录数据库、CRL证书撤销列表文件之间的关系
kiritox的博客
02-21 2850
最近在看PKI系统的相关知识,在看到使用证书这块的时候对标题上的这些概念之间的关系有点不清楚。 比如A要认证B的证书 1、选择通过OCSP在线证书查询协议进行在线查询证书有效性的时候,是直接连接CA服务器么?然后由CA服务器去访问CA证书库? 2、选择通过CRL证书撤销列表进行验证证书是否被撤销的逻辑是:向LDAP目录服务器发起下载/更新本地CRL证书撤销列表文件的请求,然后由LDAP目录服...
openssl简明使用手册
fireflyjava的专栏
03-29 410
简要介绍了使用openssl来生成CA证书、申请证书、颁发证书以及撤销证书的过程 1. 首先建立CA密钥: openssl genrsa -des3 -out ca.key 1024 (创建密钥) chmod 400 ca.key (修改权限为仅root能访问) openssl rsa -noout -text -in ca.key (查看创建的证书) 2. 利用CA密钥自签署C...
拆解一份证书撤销列表CRL
yhl4k的博客
03-31 570
CRL(作废)证书 可以制作单个作废证书,也可以制作作废证书链; 1、版本号 V2 Version 2、签名算法OID Signature Algorithm Identifier 3、签发者 Issuer(各项名字的集合) 4、作废证...
系统架构设计笔记(85)—— 数字证书与密钥管理
读万卷书,行万里路
10-01 1123
过去,人们总是依赖于对于加密算法和密钥的保密来增加保密的强度和效果。随着现代密码学的发展,大部分的加密算法都已经公开了。一些典型的算法(例如, DES 、 IDEA 、 RSA 等)更是成了国际标准,被广泛接纳。人们可以从多种途径来获取算法的细节,也已经有很多采用这些算法的软件 、 硬件设备可以利用。 因此,在现代密码系统,算法本身的保密已经不重要了,对于数据的保密在很大程度上,甚至完全依赖于对密钥的保密。只要密钥能够保密,即使加密算法公开,甚至加密设备丢失,也不会对加密系统的坚固性和正常使用产生多大影响
数字证书简单介绍
不怕死的假老练
07-07 946
一、概述 数字证书也是身份鉴别的一种方式。数字证书是指在互联网通讯标志通讯各方身份信息的一个数字认证,人们可以在网上来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流的信息和数据等进行加密或解密的形式,保证信息和数据的完整性和安全性。 二、原理 数字证书基于非对称加密(不了解的同学,可以去笔者的上一篇文章看看),即用两个密钥分别来进行加密和解密操作。用户A通过自己的私钥对信息进行加密,并将自己的公钥公布出去,他人通过用户A的公钥对加密信息进行解密,如果能解密成功,则可
mysql(创建修改删除)用户与(授予撤销查看)权限(含实战练习)
执念斩长河
06-18 1418
本博文源于mysql基础,主要对用户与权限学习与练习。涉及内容:创建用户、修改用户、删除用户、授予用户权限、撤销用户权限、查看用户权限。
数字签名和数字证书 流程图 (一目了然)
weixin_34037173的博客
11-15 2548
本文转自 bilinyee博客,原文链接: http://blog.51cto.com/ericfu/1834797 如需转载请自行联系原作者
联盟链系列 - 证书 - 公钥基础结构(PKI)
搬砖魁首的博客
08-10 1864
PKI 公钥基础结构(PKI)是用于创建,存储和分发数字证书的系统,这些证书用于验证特定公钥是否属于某个实体。PKI创建将公共密钥映射到实体的数字证书,将这些证书安全地存储在央存储库,并在需要时将其吊销。 一个 public key infrastructure(PKI)是一组角色,策略,硬件,软件和创建,管理,分发所需的程序,使用,储存和吊销数字证书和管理公共密钥加密。 PKI至少包括如下核心组件: CA(Certification Authority):负责证书的颁发和作废,接收来自RA的请求,是
AMQP消息间件实现主动状态证书撤销机制
“基于AMQP消息间件的主动状态证书撤销机制实现.pdf” 本文主要探讨了如何利用高级消息队列协议(AMQP)来实现一种主动状态证书撤销机制,这是一种新的证书撤销验证方法。在当前的技术背景下,主动状态证书撤销...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值