HTTPS证书吊销机制

对于证书检验这块，相信很多人都不太了解，甚至都不知道会检验什么内容，那么下面我们就来了解一下。

证书完整性验证，使用RAS公钥加密来验证证书上的签名是否合法，如果签名无效，则可认定证书被修改，直接报错。证书有效性验证，CA在颁发证书时，都为每个证书设定了有效期。包括开始时间与结束时间。系统当前时间不在证书起止时间的话，都认为证书是无效的。证书吊销状态检测，如果，证书在有效期之内需要丢了怎么办？需要吊销证书了，那么这里就多了一个证书吊销状态的检测。用户将需要吊销的证书通知到CA服务商，CA服务商通知浏览器该证书的撤销状态。来看一个证书吊销后的浏览器提醒。

Chrome返回了NET::ERR_CERT_REVOKED，并且拒绝继续访问，更不提供强制访问的接口，没了继续访问的手动点击链接。

验证发行者

HTTPS数字证书的使用分两个角色：证书发行方issuer，有签名密钥的私钥。证书申请方subject，使用证书公钥进行身份验证的用户。浏览器检查证书的发行者字段与证书路径中上级证书的Suject字段相同。为了增加安全性，大多数PKI实现还验证发型方的密钥、签名跟当前证书的密钥相同。 但对于信任链来说，根证书自己签发的，也就是说它们的issuer和subject是一样的。同时，这些CA根证书都是被操作系统、浏览器等直接打入系统的。

上一篇：SSL证书是否有时间限制？

下一篇：安装ssl证书之后用户信息安全如何保护?