SSL证书吊销列表（CRL）是什么？

发布日期：2020-07-27

SSL证书吊销列表，顾名思义，证书吊销是一个将无效证书和不可信证书与有效可信证书区分开的过程。基本上，这是CA（或CRL颁发者）知道一种或多种数字证书由于某种原因或其他原因不再值得信赖的一种方法。当他们吊销证书（此过程有时称为PKI证书吊销）时，他们实际上会在证书的到期日期之前使该证书无效。

因此，如果CA需要为您的网站撤消证书，它会使Google Chrome浏览器向您的网站访问者显示一条警告消息：

(图片来源于网络，如涉及侵权请告知，我们将会在第一时间删除)

1）有人泄露（或怀疑破坏了）证书的私钥。（这是最常见的原因。）

2）CA错误地颁发了证书，并颁发了新证书来替换它。

3）CA本身已受到威胁。

4）证书中列出的组织详细信息（例如，组织的名称）已更改，并且CA需要重新颁发证书以反映该更改。

5）证书是非法的或已使用盗窃的密钥进行了签名。

当CA颁发数字证书时，他们期望该证书在其整个生命周期内都在使用。

但是，并非所有证书都能在整个时间范围内保留下来。他们有时会提早被吊销，那是他们加入CRL的时间。这与证书过期的过程不同，证书过期会使CA失效，浏览器和操作系统会自动拒绝。（因此，为什么不将它们添加到证书吊销列表中。）

可以想象，如果客户端不知道特定证书被吊销，证书吊销会导致很多问题。（您之前看到的“您的连接不是私有的”警告消息是这些问题之一的完美示例。）因此，为了使证书吊销更容易跟踪，CA（和CRL颁发者）将它们添加到其CRL中。