证书吊销列表(CRL)

Q: 证书吊销列表(CRL) 是什么?

由 CA 定期签发的吊销证书清单,列出在自然到期之前已被作废的证书,供依赖方判断证书是否仍可信。 它属于网络安全的 网络安全 分类。

Q: 如何防御 证书吊销列表(CRL)?

针对 证书吊销列表(CRL) 的防御通常结合技术控制与运营实践,详见上方完整定义。

Q: 证书吊销列表(CRL) 还有哪些其他名称?

常见的别称包括: CRL, 吊销列表。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

证书吊销列表(CRL) 是什么?

证书吊销列表(CRL)由 CA 定期签发的吊销证书清单,列出在自然到期之前已被作废的证书,供依赖方判断证书是否仍可信。

CRL 是由 CA 签名的文档,包含已不再被信任的证书序列号及吊销日期,常见原因包括私钥泄露、申请者信息变化或错误签发。依赖方(浏览器、TLS 客户端等)会从证书 CRLDistributionPoints 扩展指定的位置下载 CRL,凡是序列号出现其中的证书一律拒绝。CRL 在缓存后可离线使用,但体积会持续增大,且更新可能滞后数小时甚至数天,因此现代部署越来越倾向于 OCSP、OCSP 装订、短期证书,以及 CRLite 等压缩列表方案。

● 示例

01
某 CA 每 24 小时发布 crl.example/ca.crl,客户端据此刷新吊销信息。
02
VPN 网关启动时加载 CA 的 CRL,拒绝已吊销的客户端证书。

● 常见问题

证书吊销列表(CRL) 是什么?

由 CA 定期签发的吊销证书清单,列出在自然到期之前已被作废的证书,供依赖方判断证书是否仍可信。它属于网络安全的网络安全分类。

证书吊销列表(CRL) 是什么意思?

由 CA 定期签发的吊销证书清单,列出在自然到期之前已被作废的证书,供依赖方判断证书是否仍可信。

如何防御证书吊销列表(CRL)?

针对证书吊销列表(CRL) 的防御通常结合技术控制与运营实践,详见上方完整定义。

证书吊销列表(CRL) 还有哪些其他名称?

常见的别称包括: CRL, 吊销列表。

证书吊销列表(CRL) 是什么?

● 示例

● 常见问题

● 相关术语