Ssl 证书吊销列表（CRL）存储在哪里？

据我所知，正如前面提到的，浏览器检查特定证书的吊销状态有两种主要技术：使用在线证书状态协议（OCSP）或在证书吊销列表（CRL）中查找证书

嗯，我知道有一些在线OCSP服务器或OCSP方法，浏览器会在那里发送一个请求，以检查传入的证书是否被吊销，但我不知道CRL

CRL在哪里？它是我系统中在OCSP请求后更新的文件，还是我尝试连接的web服务器中的列表

谁更新了它

OCSP服务器如何检查吊销？（我的意思是它如何更新其已吊销证书的数据库？）

请注意，我知道我可以使用命令行中的

certutil-urlcache CRL

查看CRL缓存。但它是一个缓存！真正的档案在哪里

CRL在哪里？它是我系统中在OCSP请求后更新的文件，还是我尝试连接的web服务器中的列表

CRL是证书颁发者提供的列表。该列表包含序列号和吊销证书的原因，并由颁发者（或其他直接或间接受信任的CA）签名。原始CRL文件创建并存储在发卡机构。它通常通过http/https提供，但存在其他机制。要知道哪个URL为特定证书提供CRL，请查看证书的“CRL分发点”属性。请注意，由同一CA颁发的许多证书共享同一CRL分发点

CRL的本地副本在您的系统上的位置、存储格式等取决于操作系统、浏览器、库。。。我怀疑它是否会根据OCSP响应进行更新，因为OCSP和CRL是检查吊销的独立机制，客户端通常只使用其中一个来检查特定证书的吊销。但它可能在某些情况下使用OCSP，在其他情况下使用CRL（不提供OCSP）

它更新了谁

视情况而定。浏览器通常不再使用CRL，而是移动到OCSP，完全跳过撤销检查或移动到其他机制，如。如果任何其他应用程序使用CRL作为证书-这可能取决于应用程序

OCSP服务器如何检查吊销？（我的意思是它如何更新其已吊销证书的数据库？）

它不检查撤销。OCSP服务器由证书颁发者自己提供，该颁发者本身已经拥有已吊销证书的列表（因为颁发者自己已吊销这些证书），或者在web服务器的情况下，从颁发者处获取（签名）OCSP响应，并将其未经更改地包含在TLS握手中

---

理论上，可以构建一些OCSP代理，该代理基于现有的CRL文件提供OCSP响应，但由于OCSP响应也是经过签名的，因此该代理必须具有明确受信任的证书，用于签名OCSP响应。

因此CRL存储在发卡机构的一个服务器中，对吗？在收到证书后，我可以将其序列号发送到该服务器以检查CRL，对吗？@Abraham:检查CRL是离线完成的。也就是说，它首先将CRL从服务器加载到本地系统，然后在本地检查该序列号是否包含在CRL中。并不时更新本地副本。