CRL校验与OCSP套封

最新推荐文章于 2025-08-30 10:19:23 发布
原创 最新推荐文章于 2025-08-30 10:19:23 发布 · 2.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CRL #OCSP #证书校验

本文详细介绍了CRL(证书吊销列表)和OCSP(在线证书状态协议)两种证书校验方式,包括手动和自动校验流程。CRL需要下载吊销列表,而OCSP则是实时在线查询。OCSP套封技术解决了CRL的大小问题和用户隐私,通过服务器发送和接收OCSP请求,提高了校验效率。

上一篇日志利用CSR文件生成自签名证书,接下来可以进行CRL校验和OCSP校验,两者都是校验证书的吊销状态,区别在于校验的方式不同,CRL需要校验方从CRL分发点下载CRLs吊销列表文件,OCSP则是一种在线证书状态协议,校验方发送OCSP请求查询证书的吊销状态,然后接收带有吊销状态信息的OCSP响应完成校验。

 

CRL校验

CRL标准属于TLS/SSL协议的一部分,CA机构会把所有自己签发的已被吊销的证书放到一个文件CRLs中,包括证书的序列号和吊销原因,身份校验方下载完证书吊销列表后,根据序列号查找来判断证书的吊销状态。

手动校验

手动校验的方式需要我们从证书中找到CRL分发点,然后从这个分发点下载CRL文件,从中根据证书序列号查找证书是否存在吊销列表中。

如果你的证书是cer格式的,可以先格式转换成pem格式,然后继续使用openssl命令行,打开这个pem格式的证书。查看证书可以看到很多的信息,如服务器公钥,使用的签名算法等,我们要寻找的是它的CRL分发点,即找到CRL Distribution Points:

最低0.47元/天 解锁文章
一文读懂 HTTPS :HTTPS握手TLS证书校验
bjxiaxueliang的CODING小栈
06-23 2801
HTTPS协议详解 从事移动互联网软件开发的小伙伴肯定了解:自Android 9.0开始,应用程序的网络请求默认使用https;基本是同期苹果IOS在应用网络请求方面,也强制使用https禁止http。 这一期间如果你去面试,不了解Https的握手过程,都不好意思讲工资。 本人一个普通程序员,项目期间工期紧张,并未抽出时间详细了解Https网络请求过程中TLS握手过程,因此这件事一直在我的待办记录中… 这篇文章以Wireshark抓包,详细了解Https请求中TLS的握手过程 客户端证书校验过程。 H
【转载】证书的有效性管理和验证—CRLOCSP的异曲同工之妙
记事本
08-19 864
怎样验证数字证书    数字证书号称是网上的身份证。网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的公钥和交易对象通信,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书库等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验证由安全认证应用软件执行,验证需要包括以下的内容:· 证书完整性验证。即确认这个证书没有被...
CRL问题OCSP
大力海棠的博客
02-17 5417
证书的扩展项CRL分发点可以看到,CRL证书吊销列表,是服务器身份验证的一部分,验证证书除了校验签名值外,还要校验证书的吊销状态,如果一张证书已过期,或者被吊销,那么身份校验失败。要注意的是,证书过期并不代表其被吊销,证书过期了便无效,如果证书没有过期,但因为某种原因被吊销了,也一样无效。我们知道,浏览器校验证书吊销状态时,会通过CRL分发点找到CRLs文件的URL,然后去下载CRLs文件,从中...
domain-admin证书吊销:CRL/OCSP吊销状态检查
gitblog_00330的博客
08-30 1042
在SSL/TLS证书管理领域,证书过期监控只是冰山一角。据统计,**超过30%的安全事件**无效但未过期的证书有关。证书可能因为私钥泄露、域名转让、CA(Certificate Authority,证书颁发机构)策略变更等原因被吊销,但这些证书在技术上仍然有效直到过期日期。 传统的证书监控工具往往只关注过期时间,却忽略了**吊销状态**这一关键安全指标。domain-admin作为专业的域名S...
证书的有效性管理和验证—CRLOCSP的异曲同工之妙
云守护的专栏
04-29 3082
转自https://www.cfca.com.cn/20150811/101230759.html https://www.secpulse.com/archives/113075.html   怎样验证数字证书    数字证书号称是网上的身份证。网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的公钥和交易对象通信,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书库等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验
OS X:OCSPCRL的设置
中国在线教育
06-22 3561
为了能使Safari自动地废止被废弃的认证,需要在用户的Keychain中设置OCSPCRL打开: Keychain Access程序中的Preferences, Certificates标签中,使用OCSP:和CRL: 并设置为Best Attempt,而优先级使用默认即可。 或者使用命令行: To set the CRL settings:defaul
PKI术语:CRL、增量 CRL、CTL、OCSP、LDAP、AIA、CDP、名称约束、证书模板
smmi的专栏
10-19 3564
1. 证书吊销列表 (CRL):由 CA 颁发的数字签名列表,其中包括由 CA 颁发而且已经被吊销的证书。该列表包括被吊销证书序列号、证书被吊销的日期和吊销原因。应用程序能够执行 CRL 检查以便确定所示证书的吊销状态,也称为基本 CRL(相对于增量CRL)。 2. 增量 CRL:包括自从发布上一个基本 CRL 以来被吊销的证书列表的 CRL。增量 CRL 经常被用于吊销大量证书,以便优化带...
java crl在线校验_默认情况下防止NSP和访客流的Java更新强制执行CRL检查
weixin_32258195的博客
02-28 285
简介本文描述遇到的问题最新的Java更新中断使用访问控制列表(ACL)和重定向的请求方设置和一些访客流的地方。背景信息错误在CiscoSPWDownloadFacilitator并且读“失败验证证书。应用程序不会被执行”。 如果点击更多信息,您收到抱怨证书撤销列表(CRL)的输出。java.security.cert.CertificateException: java.security.cert...
代码实现对证书进行CRL校验
qq_36319965的博客
01-10 687
介绍CRL概念,并使用Java实现对于证书进行CRL校验
证书吊销机制可行性分析:CRLOCSP在资源受限ESP32设备上的真实表现
传统的证书吊销方法主要包括证书吊销列表(CRL)和在线证书状态协议(OCSP),二者均依赖中心化服务提供实时状态验证。然而,在物联网(IoT)场景下,海量低功耗设备普遍存在计算能力弱、内存受限、网络不稳定等特点...
java ocsp校验_Nginx使用OCSP验证客户端证书
weixin_39747755的博客
02-25 1016
此前,Nginx只支持OSCP验证服务器证书。目前,Nginx 1.19.0+已经支持使用OSCP验证客户端证书:https://trac.nginx.org/nginx/ticket/1534有关Nginx双向证书验证的详细配置可以参考笔者的《Nginx双向证书校验(服务器验证客户端证书)》一文。如下配置:server {listen 50443;ssl on;server_name examp...
revoker:CRL分发点和OCSP响应程序的Java实现
04-30
介绍 该存储库包含Java 8的证书吊销列表(CRL)分发点和在线证书状态协议(OCSP)响应程序的实现。 概述 此应用程序是Dropwizard应用程序,可以响应给定CA的CRL请求和OCSP请求。 您需要为应用程序提供对CA索引文件的访问权限,该索引文件实际上是CA的数据库,crl文件以及一个Java密钥库,其中包含用于签名OCSP响应的密钥和证书链。 这些都在conf.yml文件中完成。 运行应用程序 要测试该应用程序,请运行以下命令。 要打包应用程序,请运行: mvn package 要运行服务器,请运行: java -jar target/revoker-0.1.0.jar server conf.yml 要使用管理员操作菜单,请浏览器浏览至: http://localhost:8081 您可以使用以下openssl命令来测试OCSP是否正常工作 openssl ocsp
密码学系列之:在线证书状态协议OCSP详解
程序那些事
07-06 3481
我们在进行网页访问的时候会跟各种各样的证书打交道,比如在访问https网页的时候,需要检测https网站的证书有效性。OCSP就是一种校验协议,用于获取X.509数字证书的撤销状态。它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。我们知道在PKI架构中,CA证书是非常重要的组件,客户端通过CA证书来验证服务的可靠性。对于CA证书本身来说在创建的时候是可以指定过期时间的。这样证书在过期之后就不可以使用,需要申请新的证书。但是只给证书指定过期时间是不够的,比如我们因为业务的需求,需要撤销证书
CRL的验证
weixin_34348805的博客
06-11 1206
验证在Client的证书,是否通过CA的CRL验证. 1.打开浏览器,输入目标的网址 https:// 2.在URL的旁边,打开Server的证书 3.在证书的Details Tabs里,找到CRL distribution 的位置 4.复制里面的URL 5.打开CMD,输入 certutil -URL <你从第4步得到的URL> 6.会弹出一个Win 窗口,按...
OCSP检查数字证书状态详解
N阶二进制的博客
12-09 3618
OCSP(Online Certificate Status Protocol)是一种用于检查数字证书状态的协议。它提供了一种实时查询证书状态的方式,以确定证书是否被吊销。
java ocsp请求_java – 客户端证书上的OCSP吊销
weixin_39547596的博客
02-24 642
如果仅使用客户端的java.security.cert.X509Certificate,如何使用OCSP手动检查java中的证书撤销状态?我看不清楚这样做的明确方法.或者,我可以让tomcat自动为我做,你怎么知道你的解决方案是真的?解决方法:我发现了一个最优秀的解决方案/**54 * This is a class that checks the revocation status of ...
CRL
mengshi12的专栏
08-26 655
crl
数字证书的相关专业名词(中)---根证书CRL,以及java中CRL的获取和验证方法
qq_44005305的博客
04-11 1546
上篇文章我们主要了解了PKI中的数字证书和PKCS,这篇文章我们主要了解一下根证书,以及OCSPCRL。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)
ssl证书校验流程,和crl关系
最新发布
10-26
<think>我们正在讨论SSL证书校验流程及其CRL证书吊销列表)的关系。 首先,SSL证书校验流程是确保网站身份和建立安全连接的关键步骤。而CRL证书吊销状态的一种检查机制。 用户的问题要求我们参考上一次的问题和回答,但这是当前会话的第一个问题(因为之前没有对话历史)。因此,我们直接回答用户的问题。 我们需要覆盖: 1. SSL证书校验流程的步骤 2. CRL在其中的作用 3. 其他相关机制(如OCSP)的简要提及 回答结构: 1. 解释SSL证书校验的基本流程步骤 2. 重点说明证书吊销检查,并引入CRL 3. 解释CRL的概念以及它在校验流程中的位置 4. 对比CRL其他机制(如OCSP)的优缺点 注意:使用中文,数学公式(如果有)按照要求使用$...$或$$...$$,并生成相关问题。 由于没有引用标识的要求(除了示例中提到的,但用户本次问题没有要求引用),我们按照正常回答即可。 </think>### SSL证书校验流程CRL的关系 #### 一、SSL证书校验核心流程 1. **证书链验证** 客户端验证服务器证书的签发路径,直至可信根证书颁发机构(CA)。例如: 服务器证书 $\rightarrow$ 中间CA证书 $\rightarrow$ 根CA证书 需满足:$ \text{签名}_{CA}(\text{证书}_\text{服务器}) = \text{有效} $ 2. **有效期检查** 验证证书在通信时刻处于有效期内: $$ \text{当前时间} \in [\text{生效时间}, \text{过期时间}] $$ 3. **域名匹配** 检查证书中的`Subject Alternative Name`(SAN)是否包含访问的域名。 4. **吊销状态检查(关键环节)** 验证证书未被CA提前吊销,此处涉及CRLOCSP机制。 --- #### 二、CRL的作用工作原理 **CRL(Certificate Revocation List)** 是由CA定期发布的**吊销证书序列号列表**,其工作流程如下: 1. CA维护吊销数据库,当证书需提前作废(如私钥泄漏)时添加记录 2. 定期(通常6-24小时)生成CRL文件并发布到指定URL 3. 客户端获取CRL文件,校验其CA签名后匹配目标证书序列号 4. 若发现匹配则拒绝连接,否则继续握手 **数学表达**: 设CRL集合为 $ C = \{ \text{序列号}_1, \text{序列号}_2, ..., \text{序列号}_n \} $ 校验结果为:$ \text{证书}.\text{序列号} \notin C $ --- #### 三、CRL在SSL校验中的位置 ```mermaid graph LR A[SSL握手开始] --> B[证书链验证] B --> C[有效期/域名检查] C --> D{吊销检查} D -->|CRL机制| E[下载CRL文件] E --> F[验证CRL签名] F --> G[查询目标证书序列号] G -->|未命中| H[建立连接] G -->|命中| I[终止连接] ``` --- #### 四、CRL的局限性及替代方案 1. **CRL缺点**: - 时延性:最大滞后周期=CRL发布时间间隔 - 体积膨胀:累积吊销可能使文件达MB级别 - 单点故障:CRL下载服务器宕机导致验证失败 2. **主流替代方案OCSP**: - 实时在线查询证书状态 - 响应速度更快(数百ms级) - 但存在隐私泄漏风险(CA知晓用户访问行为) 3. **优化方案OCSP Stapling**: 由服务器主动获取OCSP响应并附加在TLS握手包中,消除客户端直连CA的需求[^1]。 --- #### 五、演进趋势 现代浏览器(Chrome/Firefox)已逐步弃用CRL,优先采用OCSP Stapling,并在证书中通过`CRL Distribution Points`扩展字段兼容传统系统: $$ \text{X.509证书} \supseteq \left[ \begin{array}{c} \text{CRL分发URL} \\ \text{OCSP响应器URL} \end{array} \right] $$ > 注:金融/政府等强合规场景仍要求CRL+OCSP双重验证[^2]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值