查询https证书是否吊销:证书吊销列表CRL&证书状态在线查询协议OCSP

IE浏览https://网页时,会查询证书吊销列表(CRL)或OCSP 服务,检查此url的SSL证书是否已被吊销,如果证书已被证书颁发机构吊销,则会显示警告信息: “此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。“沃通吊销证书的示例url:https://revoked-demo.wosign.com

crl

证书吊销列表 (Certificate Revocation List ,简称: CRL) 包含了证书颁发机构 (CA)已吊销证书的序列号、吊销日期,还可以包含吊销理由。CRL文件中包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。一些特殊的CRL类型用于覆盖特殊领域的CRL。

证书吊销列表最短的有效期为一个小时,一般为几天,甚至一个月不等,应用程序获得 CRL 之后,由客户机缓存CRL,在它到期之前客户机将一直使用它。

crl 有效期

根据证书的“CRL分发点”指定的url下载CRL(证书吊销列表),检查当前的证书是否在列表内。到达“下一次的更新”时间之前,Windows使用已缓存起来的CRL,过期后再次下载CRL。获取CRL失败时,提示不能检查服务器证书的吊销信息。

证书吊销列表分发点 (CRL Distribution Point ,简称 CDP)一般是一个可以访问 http 网址。

OCSP(Online Certificate Status Protocol)证书状态在线查询协议, 是 IETF 颁布的用于实时查询数字证书在某一时间是否有效的标准。

https ocsp

一般 CA 每隔一定时间 ( 几天或几个月 ) 才发布新的吊销列表,所以CRL 不能及时反映证书的实际状态的,而 OCSP就能满足实时在线查询证书状态的要求。OCSP 也是一个可以访问的http服务,收到查询请求,OCSP服务器返回证书可能的三个状态:正常、吊销和未知。

有些CA颁发的证书没有提供吊销列表(CRL)服务或证书吊销列表分发点是不可访问的 ,当然更别提 OSCP服务,如果证书丢失或被盗而无法吊销的话,就极有可能被用于非法用途而让用户蒙受损失。

清除CRL缓存命令
certutil -urlcache ocsp delete
certutil -urlcache crl delete

查看CRL

使用CRL分发点的url下载crl文件,windows系统可直接打开查看,令windows系统也提供了如下命令:

把下载的.crl文件复制到CERTUTIL.exe所在的文件夹中
CERTUTIL < CRL 文件名称 >

certutil -URL <CRL分发点的URL>
certutil -URL http://crls1.wosign.com/ca6-server1.crl