Ssl TLS握手步骤
我知道TLS握手的基本步骤,但不知道TLS过程中证书的详细验证步骤。我的问题在下面 假设我们的系统支持OCSP/CRLs验证。在这种情况下,使用CRLs或OCSP响应程序验证传入证书的第一步是什么?或者首先查找传入证书是否在TrustStore中Ssl TLS握手步骤,ssl,handshake,Ssl,Handshake,我知道TLS握手的基本步骤,但不知道TLS过程中证书的详细验证步骤。我的问题在下面 假设我们的系统支持OCSP/CRLs验证。在这种情况下,使用CRLs或OCSP响应程序验证传入证书的第一步是什么?或者首先查找传入证书是否在TrustStore中 感谢您的帮助您可能找不到关于这方面的最终文档,部分原因是人们已经放弃了这两种撤销检查方法(在某些浏览器中默认情况下禁用了这两种方法,或者启用后不会生成非常有用的UI) 现在人们更喜欢OCSP装订(出于某些原因,请参阅),而不是CRLs或OCSP 但准确
感谢您的帮助您可能找不到关于这方面的最终文档,部分原因是人们已经放弃了这两种撤销检查方法(在某些浏览器中默认情况下禁用了这两种方法,或者启用后不会生成非常有用的UI) 现在人们更喜欢OCSP装订(出于某些原因,请参阅),而不是CRLs或OCSP 但准确地回到您的问题,因为CRL和OCSP通常都意味着要远程获取内容,这需要网络访问,并且可能会造成延迟。因此,如果您有一个包含所有证书的本地信任库,那么在进行远程调用之前,您应该首先检查它 此外,CABFORM基线要求(at)规定CRLs端点可能存在于证书中,但OCSP端点必须存在,除非您改为进行OCSP装订。 除此之外,电动汽车证书授权OCSP 因此,简而言之,按以下顺序做事可能是有意义的:
- DANE,因此检查DNS TLSA记录
- 证书透明日志
- oneCRL/CRLset