阿里云 CDN HTTPS 最佳实践——OCSP Stapling

  1. 云栖社区>
  2. 阿里云边缘计算>
  3. 博客>
  4. 正文

阿里云 CDN HTTPS 最佳实践——OCSP Stapling

樰篱 2017-11-13 17:15:03 浏览3841
展开阅读全文

背景

下图是互联网 PKI 证书的生命周期:

Https4_1

对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢,通常有两种方式:CRL(Certificate Revocation List,证书吊销列表)和 OCSP(Online Certificate Status Protocol,在线证书状态协议)

  1. CRL
    CRL 是由 CA 机构维护的一个列表,列表中包含已经被吊销的证书序列号和吊销时间。浏览器可以定期去下载这个列表用于校验证书是否已被吊销。可以看出,CRL 只会越来越大,而且当一个证书刚被吊销后,浏

网友评论

登录后评论
0/500
评论
樰篱
+ 关注
所属云栖号: 阿里云边缘计算