文章发表于:2020年01月12日 16:26:46

天威诚信 网络在线的状态下,核验数字证书的有效性

    电子签名的有效性核验,在PDF文件中通常会自动完成。但是在网络离线状态,因证书列表不是最新版或者无法向远程CA服务器发送核验证书有效性请求,故离线状态是无法有效核验数字证书及签名的有效性的。因此“”公众号推荐在司法审查中,如需核验数字证书和电子签名的有效性,应在网络在线的状态,进行如下方式核验。天威诚信

    电子签名时,进行数字证书CRL证书吊销列表校验CRL(Certificate Revocation List)是一个被CA所签署的证书列表,需要用户经常下载至本地,CRL中包含了被吊销证书的序列号。CRL中会包含证书的泄露密钥、泄露CA、从属关系改变、被取代、业务终止等状态。

    一个有效的电子签名,在签署时,应当下载CRL证书列表,以核查证书的吊销状态,以确保私钥在签署时的有效性。如果未进行CRL证书吊销列表核验,那么所签署的电子签名,有可能就是用了被吊销或者过期的证书中的私钥签署的,此时电子签名就是无效的。

    CRL的不足就是必须经常在客户端下载以确保列表的更新,并且如果列表庞大,遍历证书吊销列表需要耗费一定的时间。而OCSP(Online Certificate Status Protocol)克服了CRL的主要缺陷。北京数字证书认证中心

    当用户试图访问一个服务器时,在线证书状态协议(OCSP)发送一个对于证书状态信息的请求。服务器回复一个“有效”“过期”或“未知”的响应。用户电子签名时,只需要执行OSCP协议,那么就可以实时获知证书的有效性。