如果网站的证书被吊销,我试图观察TLS流。然后,当我通过Wireshark捕获数据包时,我找到了一个测试网站“ https://revoked.grc.com/”并通过Google Chrome发送请求。
在TLS期间,服务器(https://revoked.grc.com/)向我发送了已吊销的证书和证书状态,该证书的状态为“已撤消”,然后按预期在Google Chrome上显示了“ NET :: ERR_CERT_REVOKED”错误。
我也曾期望在Wireshark上显示“握手失败”或“错误证书”之类的错误,但是当我在Wireshark上过滤TLS流时,发现密钥交换已完成!
有没有一个想法为什么Wireshark捕获会是这样?这是Google Chrome的安全漏洞吗?
谢谢
答案 0 :(得分:0)
不。这是因为只要签名有效且日期在当前有效范围内,证书就有效。浏览器(或其他系统)知道证书被吊销的唯一方法是使用OCSP或使用本地CRL(通常对于服务器而言)来查询CRL。
如果您在PKI中将证书标记为已吊销,则您正在CRL中创建一个条目。证书本身未更改。如果必须更改证书,则无法撤消您没有实际拥有的证书。
