什麽是證書吊銷列表？撤銷列表是做什麽的？

證書撤銷列表(CRL)是使用公鑰結構訪問網絡中服務器的兩種常用方法之壹。英文:Certificate Revocation List縮寫:CRL Origin:ITU/T x . 509 ISO/IEC 9594-8:2001，GB/T 16264.8-2005定義:指定證書頒發者認為無效的壹組證書的簽名列表。除了普通的CRL之外，還定義了壹些特殊的CRL類型來覆蓋特殊字段中的CRL。解釋:CRL必須由CA簽名。您可以使用與頒發證書相同的私鑰，也可以使用特殊的CRL來頒發私鑰。CRL包含被吊銷證書的序列號。證書吊銷證書有指定的生存期，但是CA可以通過稱為證書吊銷的過程來縮短此生存期。CA發布證書吊銷列表(CRL ),該列表列出了被認為不再可用的證書的序列號。CRL指定的生存期通常比證書指定的生存期短得多。CA還可以在CRL中添加證書吊銷的原因。它還可以添加被認為適用於此狀態更改的開始日期。以下情況可以指定為撤銷證書的原因:1，泄露密鑰。2.泄漏CA。3.從屬關系發生變化。4.被替換。5.業務終止。證書持有(這是唯壹可以改變已吊銷證書狀態的原因代碼，在證書狀態出現問題的情況下非常有用)。CA撤銷證書意味著CA撤銷其聲明，即在證書正常過期之前允許使用密鑰對。被吊銷的證書過期後，CRL中的相關條目將被刪除，以縮短CRL列表的大小。在簽名驗證期間，應用程序可以檢查CRL，以確定給定的證書和密鑰對是否仍然可信(壹些應用程序使用CryptoAPI中的Microsoft證書鏈驗證API來完成此任務)。如果不可信，應用程序可以判斷撤銷的原因或日期是否對所述證書的使用有影響。如果證書用於驗證簽名，並且簽名日期早於CA吊銷證書的日期，則簽名仍被視為有效。在應用程序獲得CRL之後，客戶端緩存CRL，並且客戶端將使用它直到它過期。如果CA發布了新的CRL，則具有有效CRL的應用程序將不會使用新的CRL，直到該應用程序擁有的CRL過期。