什么是SSL证书吊销？

什么是SSL证书吊销？

SSL证书吊销（Certificate Revocation）是指在证书自然过期前，由证书颁发机构（CA）主动宣告该证书不再可信、应被终端（如浏览器、操作系统）拒绝信任的过程。吊销通常发生在私钥泄露、域名失控、组织信息变更或证书误发等安全风险场景下。

吊销本身不删除证书，而是通过公开的吊销状态列表告知依赖方：该证书虽未过期，但已失效。主流验证机制包括 CRL（Certificate Revocation List）和 OCSP（Online Certificate Status Protocol）。现代浏览器（如 Chrome、Firefox）默认启用 OCSP Stapling 或强制 OCSP 检查（部分配置下），并在检测到吊销状态时直接终止 TLS 握手，显示“NET::ERR_CERT_REVOKED”等错误。

根据 RFC 5280，CA 必须为签发的每张 ssl证书 提供有效的 CRL 分发点（CRL Distribution Points）和 OCSP 响应器地址（Authority Information Access）。若这些端点不可达或响应超时，客户端行为取决于策略：Chrome 采用“软失败”（soft-fail），即暂不阻断连接；而 Firefox 和部分企业中间件可能启用“硬失败”（hard-fail），直接拒绝证书。

需要注意的情况

• 吊销状态不会自动同步至所有客户端——CRL 缓存有效期（通常数小时至数天）、OCSP 响应缓存（默认最长 10 分钟）可能导致延迟生效；
• 自签名证书、私有 CA 签发证书或未正确配置 AIA/CRL 字段的证书，无法被标准吊销机制识别，存在隐性信任风险；
• 免费ssl证书（如 Let's Encrypt）同样支持吊销，且提供标准 OCSP 响应器（http://ocsp.int-x3.letsencrypt.org），但其证书生命周期短（90 天），实际吊销需求远低于长期证书；
• 国密SSL证书（SM2）遵循 GM/T 0015-2012，其吊销机制与国际 PKI 一致，但需依赖符合国密标准的 CRL/OCSP 服务端实现，例如 华测国密CA 提供的国密 OCSP 响应器。