当证书颁发机构撤销数字证书时,浏览器如何知道此证书未验证。
浏览器每次都检查撤销列表吗?
答案 0 :(得分:0)
浏览器不知道CA可能已撤销的每个证书。但是当它遇到必须验证的证书(即SSL证书)时,它将验证它。
当浏览器必须验证证书时,它将构建证书链直到受信任的根CA,并且对于链中的每个元素,它将检查撤销列表。受信任的根权限列表与浏览器捆绑在一起。
撤销列表可以缓存,因为它具有到期日期(not_after)。 如果证书中有与OCSP的链接,那么浏览器可以(根据其设置)使用OCSP而不是CRL来检查证书的有效性。