网络安全
证书吊销列表(CRL)
别称: CRL, 吊销列表
定义
由 CA 定期签发的吊销证书清单,列出在自然到期之前已被作废的证书,供依赖方判断证书是否仍可信。
CRL 是由 CA 签名的文档,包含已不再被信任的证书序列号及吊销日期,常见原因包括私钥泄露、申请者信息变化或错误签发。依赖方(浏览器、TLS 客户端等)会从证书 CRLDistributionPoints 扩展指定的位置下载 CRL,凡是序列号出现其中的证书一律拒绝。CRL 在缓存后可离线使用,但体积会持续增大,且更新可能滞后数小时甚至数天,因此现代部署越来越倾向于 OCSP、OCSP 装订、短期证书,以及 CRLite 等压缩列表方案。
示例
- 某 CA 每 24 小时发布 crl.example/ca.crl,客户端据此刷新吊销信息。
- VPN 网关启动时加载 CA 的 CRL,拒绝已吊销的客户端证书。
相关术语
OCSP(在线证书状态协议)
一种基于 HTTP 的协议,允许客户端实时向 CA 的响应器查询特定 X.509 证书的状态(有效、已吊销或未知)。
X.509 证书
数字证书的标准结构,通过受信任 CA 的签名将公钥与某一身份绑定在一起。
证书颁发机构(CA)
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
数字签名
一种公钥密码学机制,用于证明消息或文档的真实性、完整性以及不可否认性。