`

证书撤销

阅读更多

数字证书的“生命”不一定会延续到失效日期。

  当订户个人身份信息发生变化,或者订户私钥丢失、泄露或者疑似泄露时,证书订户应及时地向CA提出证书的撤销请求,CA也应及时地把此证书放入公开发布的证书撤销列表。证书的撤销也表示了证书生命的终结。

  此外,数字证书在一些特殊情况下也可能在其失效日期之前被撤销。例如,数字证书订户没有按时向CA公司缴纳年费,数字证书订户擅自将证书进行了CA所不允许的用途且被CA发现,或者政府机关等权力部门(超出PKI系统技术范畴但是具有法律行政权力的部门单位)提出对尚处于有效期内的某数字证书的撤销要求。

  当发生上述各种情况时,相应的数字证书继续正常使用可能会造成较为严重的影响,应当及时撤销。比如私钥泄露,可能会被其它获得此私钥的实体仿造数字签名去签署各种电子文件等,造成不可预计的各种结果包括经济损失。

  CA一般采用证书撤销列表的方式将被撤销的证书告知其他订户,CRL中列举着所有在有效期内但被撤销的数字证书。

  证书撤销的流程如下:

  1. 订户或者其上级单位向RA提出撤销请求;

  2. RA审查撤销请求;

  3. 审查通过后,RA将撤销请求发送给CA或者CRL签发机构;

  4. CA或者CRL签发机构修改证书状态,并签发新的CRL。

  当该数字证书被放入CRL后,数字证书则被认为失效。注意,失效并不意味着无法被使用。如果窃取到甲的私钥的乙用甲的私钥签名了一份文件发送给丙,并附上甲的证书,如果丙忽视了对CRL的查看,丙就依然会用甲的证书成功的验证这份非法的签名,并会认为甲确实对这份文件签名。

  随之而来一个话题,就是如何让各依赖方能够容易、及时、正确地得到他们需要了解的证书的撤销信息。这涉及到证书撤销状态的发布方式和发布时间这两个方面。

  首先,我们已经知道CA一般会初始化和维持一个CRL,罗列着已经被撤销的数字证书。CRL的发布方式一般是通过网络,包括Web、FTP等,在数字证书的扩展里一般有存放CRL的地址。除此之外,本地一般会通过一个CRL缓存机制来缓存着一份最新的CRL。

  其次,CRL的发布间隔时间也是一个值得考虑的问题。这里存在着一个博弈,如果CA非常频繁地更新CRL,那么CA运营的成本将提高,但是可以把作废证书可能造成的损失降低。反之,降低CRL的更新频率,CA在节省这方面成本的同时,也加大了作废证书由于没有及时发布而使得依赖方蒙受损失的风险。CA应该选择合适的证书撤销列表发布策略来达到最优化的成本和风险控制]。上面所提到的CRL缓存时间和CA的CRL更新周期应该是一致,使得本地缓存的CRL是当前最新的CRL。

  常用的证书撤销状态发布方式还有在线证书状态协议(Online Certificate Status Protocol,简称为OCSP),该协议为依赖方提供对证书状态的实时在线查询。依赖方不用检查证书撤销列表而是向证书状态查询服务器在线询问某证书的状态。但是OCSP服务器必须对查询的结果进行数字签名,而签名是消耗计算资源的操作,所以对OCSP服务器的要求很高。由于查询者可以是任何实体,没有办法进行身份验证,所以OCSP服务器的这种在线的响应方式很可能会遭到DOS/DDOS攻击。

  证书撤销树(Certificate Revocation Tree,简称为CRT)是一个比较折中的方案。CRT是基于二叉HASH树的对传统CRL的改造,它基本上拥有了CRL和OCSP的优势,且可以快速地返回查询结果。

  [[i]] Chengyu Ma, Nan Hu, Yingjiu Li. On the Release of CRLs in Public Key Infrastructure. 15th USENIX Security Symposium.

 

原文:http://baike.baidu.com/view/2841599.htm

分享到:
评论

相关推荐

    基于SM2算法的证书与证书撤销列表格式标准

    基于SM2算法的证书与证书撤销列表格式标准 本资源摘要信息是基于SM2算法的证书认证系统的证书与证书撤销列表格式标准的详细说明。该标准规定了公钥密码基础设施体系中基于SM2算法的证书与证书撤销列表格式标准,为...

    Ad Hoc网络的分布式证书撤销方案.pdf

    传统的集中式CA(Certification Authority)系统在大规模分布式网络环境中存在效率低下和单点故障的问题,因此,分布式证书撤销方案显得尤为重要。莫杰和王晓明提出了一种新的分布式证书撤销方案,该方案基于以下几...

    引入动态权重的车联网节点证书撤销机制.pdf

    根据所提供的文件内容,本文将详细解释“引入动态权重的车联网节点证书撤销机制”的关键知识点。车联网(VANET)是一种以车辆为节点的移动自组织网络,它利用无线通信技术在车辆之间交换信息,主要实现智能化交通...

    行业分类-设备装置-利用证书撤销列表的内容控制方法.zip

    在IT行业中,证书撤销列表(Certificate Revocation List,CRL)是网络安全和数字认证领域中的一个重要概念。证书撤销列表主要用于确保网络通信的安全性,防止已撤销或失效的数字证书被恶意使用。本主题主要探讨了...

    论文研究-证书撤销机制的分析与设计.pdf

    分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销...

    论文研究-基于AMQP消息中间件的主动状态证书撤销机制实现.pdf

    主动状态证书撤销机制是一种新的证书撤销验证机制, 如何实现该机制还未见具体的案例。在分析高级消息队列协议AMQP的基础上, 结合主动状态证书的订阅/发布要求, 设计了一种基于AMQP消息中间件的主动状态证书发布与...

    证书吊销列表CRL解析工具(Java)

    CRL由证书颁发机构(Certification Authority,CA)发布,用于列出已经撤销但尚未到期的证书,以防这些被撤销的证书被恶意使用。本项目提供了一个用Java编写的CRL解析工具,帮助用户方便地处理CRL相关的任务。 首先...

    论文研究-公钥证书与属性证书的结合——融合证书.pdf

    介绍了一种新的证书撤销方案——NewPKI证书撤销方案,运用这种新的撤销机制解决公钥证书与属性证书不能简单合并的问题。定义了一类新的属性——NewPKI属性,并且将NewPKI属性与X.509公钥证书相结合,从而提出一类新...

    数字证书根证书DEMO

    此外,用户和组织机构应定期更新信任的根证书列表,以应对可能的证书撤销和新CA的引入。同时,对于企业内部的PKI系统,自建根证书机构也需谨慎管理,确保内部证书的签发和验证流程合规,防止内部信息泄露。 总的来...

    一种新型的证书撤销列表 (2007年)

    对证书撤销机制进行了研究。指出基于有序顺序表的证书撤销列表方案的不足,提出一种基于二叉排序树的CRL方案。通过分析表明,该方案与传统CRL相比,能够减少证书用户查找撤销证书的平均查询次数,克服了顺序CRL在...

    测试的根证书与子证书的签名应用

    这可以通过生成新证书或使用证书撤销列表(CRL)来实现。 6. **安全实践**:测试环境中使用根证书和子证书时,应遵循最佳安全实践,例如定期更换密钥,限制私钥的访问权限,以及确保所有证书在不再使用后得到正确...

    国密数字证书验证-SM2、SM3、SM4

    4. 验证证书吊销状态:查询证书撤销列表(CRL)或使用在线证书状态协议(OCSP)检查证书是否已被撤销。 在实际应用中,使用国密算法的数字证书不仅适用于互联网通信,还广泛应用于政府、金融、电信等行业,满足国内...

    win7更新根证书msu文件

    2. **证书撤销**:如果某个证书颁发机构的证书被发现存在滥用或已被妥协,那么微软会发布更新来撤销这些不安全的证书。 3. **新增受信任的CA**:随着新的、信誉良好的证书颁发机构的出现,系统需要更新根证书以包含...

    CA证书制作工具

    在实际操作中,需注意证书的有效期、信任链的建立以及证书撤销列表(CRL)的维护。 总的来说,掌握CA证书的制作工具和流程,是提升网络安全意识和能力的重要一步。通过学习和实践,我们可以更好地理解和应用这些...

    证书管理工具V2.3.1(外网全驱动版

    6. **证书撤销**:在必要时,如私钥泄露,工具能帮助用户撤销证书,确保网络安全性。 7. **驱动兼容性**:外网全驱动版可能特别强调了对各种网络环境的适应性,包括不同类型的网络设备和驱动,确保无论用户身处何种...

    PKI/CA与数字证书技术大全

    PKI的核心组件包括密钥管理、证书颁发、证书撤销列表(CRL)和时间戳服务。 2. **认证授权机构(CA)**:CA是PKI中的关键角色,负责验证并签发数字证书,确保证书持有者的身份真实可信。CA的职责包括证书的申请、...

    zhengshu.rar_证书_证书管理_证书系统

    9. **证书撤销**:当证书持有者的私钥泄露或不再可信时,需要将其撤销并放入证书撤销列表(CRL),防止被恶意使用。 10. **备份与恢复**:系统应提供备份和恢复机制,以防止数据丢失,并确保即使在系统故障后也能...

    CA证书生成工具OpenSSL

    8. **CA证书撤销**:如果CA证书或私钥丢失或被盗,需要立即撤销并替换,以防恶意使用。 了解并熟练掌握OpenSSL生成CA证书的过程,对于构建和维护安全的网络环境至关重要。在实际操作中,你可能还需要根据具体需求...

Global site tag (gtag.js) - Google Analytics