在憑證授權單位(CA)中, 憑證撤銷(Certificate Revocation)是一項重要機制, 用來讓使用者或系統知道某張原本有效的憑證已不再可信, 應立即停止信任
為什麼需要撤銷憑證?
。憑證所對應的私密金鑰遺失或被竊
。憑證持有人不再受信任或離職
。憑證內容有錯誤
。憑證被誤發
。安全政策變更不再允許該憑證用途
憑證撤銷的運作流程
1. CA收到撤銷請求: 憑證持有人或管理員向 CA送出撤銷憑證的請求
2. CA驗證與執行撤銷: CA確認撤銷的原因與授權後, 將該憑證標記為「撤銷」狀態, 記錄在 CRL(Certificate Revocation List)或可透過 OCSP提供查詢
3. 發布撤銷資訊w-studio.idv.tw
CA會將撤銷的憑證資訊透過下列兩種方式發布:
。CRL(憑證撤銷清單):
--一份清單檔案, 列出所有已撤銷但尚未過期的憑證序號
--用戶端在驗證憑證時下載該清單並檢查是否被列入
。OCSP(線上憑證狀態通訊協定):
--一種即時查詢憑證狀態的協定
--用戶端可詢問「這張憑證是否有效?」CA回應 good、revoked或 unknown
沒有留言:
張貼留言