查询https证书是否吊销：证书吊销列表CRL&证书状态在线查询协议OCSP

IE浏览https://网页时，会查询证书吊销列表(CRL)或OCSP 服务，检查此url的SSL证书是否已被吊销，如果证书已被证书颁发机构吊销，则会显示警告信息： “此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。“沃通吊销证书的示例url：https://revoked-demo.wosign.com

证书吊销列表 (Certificate Revocation List ，简称： CRL) 包含了证书颁发机构 (CA)已吊销证书的序列号、吊销日期，还可以包含吊销理由。CRL文件中包含证书颁发机构信息、吊销列表失效时间和下一次更新时间，以及采用的签名算法等。一些特殊的CRL类型用于覆盖特殊领域的CRL。

证书吊销列表最短的有效期为一个小时，一般为几天，甚至一个月不等，应用程序获得 CRL 之后，由客户机缓存CRL，在它到期之前客户机将一直使用它。

根据证书的“CRL分发点”指定的url下载CRL（证书吊销列表），检查当前的证书是否在列表内。到达“下一次的更新”时间之前，Windows使用已缓存起来的CRL，过期后再次下载CRL。获取CRL失败时，提示不能检查服务器证书的吊销信息。

证书吊销列表分发点 (CRL Distribution Point ，简称 CDP)一般是一个可以访问 http 网址。

OCSP(Online Certificate Status Protocol)证书状态在线查询协议， 是 IETF 颁布的用于实时查询数字证书在某一时间是否有效的标准。

一般 CA 每隔一定时间 ( 几天或几个月 ) 才发布新的吊销列表，所以CRL 不能及时反映证书的实际状态的，而 OCSP就能满足实时在线查询证书状态的要求。OCSP 也是一个可以访问的http服务，收到查询请求，OCSP服务器返回证书可能的三个状态：正常、吊销和未知。

有些CA颁发的证书没有提供吊销列表(CRL)服务或证书吊销列表分发点是不可访问的 ，当然更别提 OSCP服务，如果证书丢失或被盗而无法吊销的话，就极有可能被用于非法用途而让用户蒙受损失。

清除CRL缓存命令
certutil -urlcache ocsp delete
certutil -urlcache crl delete

查看CRL

使用CRL分发点的url下载crl文件，windows系统可直接打开查看，令windows系统也提供了如下命令：

把下载的.crl文件复制到CERTUTIL.exe所在的文件夹中
CERTUTIL < CRL 文件名称 >

certutil -URL <CRL分发点的URL>
certutil -URL http://crls1.wosign.com/ca6-server1.crl