我们的客户要求我们迁移一系列面向内部的 Java 项目,以使用 SSL 进行可能敏感的 REST 调用。他们计划在内部生成和签署证书。
我担心万一证书被泄露,应用程序可能希望吊销他们的证书。
是否可以在不更改 master 的情况下以编程方式撤销证书?哈希签名一旦建立,似乎就没有办法撤销了,那么像Verisign这样的机构是怎么做到的呢?
最佳答案
证书包括如何检查吊销信息的一部分,通常是 CRL(证书吊销列表)或在线服务 OCSP(在线证书状态协议(protocol))
认证服务提供商通过将证书包含在 CRL 及其 OCSP 服务中来撤销证书。当客户想要检查证书的吊销时,下载 CRL 以检查或执行 OCSP 请求
要做到这一点,您需要: 1)拥有OCSP服务和/或CRL 2) 在自行生成的证书中包含指向 OCSP/CRL 的 URL。 3) 撤销证书,将它们包含在您的撤销服务列表中
例如,对于安全的 HTTPS 网站,浏览器负责执行撤销检查。然而Google decided in 2012 to default Chrome not to check for certificate revocation on non-EV certificates
因此,请注意,控制撤销是客户的责任,不能这样做
关于ssl - 是否可以撤销有效的 SSL 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37555599/