ERR_CERT_REVOKED

ERR_CERT_REVOKED 是什么错误？

ERR_CERT_REVOKED 是 Chrome、Edge 等基于 Chromium 内核浏览器提示的严重 TLS 证书错误，表示该网站当前使用的 SSL/TLS 证书已被证书颁发机构（CA）主动吊销，不再具备信任资格。浏览器拒绝建立 HTTPS 连接，并阻止用户继续访问，这是 PKI 信任机制的核心安全保护行为。

该错误直接指向证书生命周期管理失效，而非配置疏漏或兼容性问题。

核心技术机制

证书吊销的两种主流机制

浏览器验证证书有效性时，不仅检查有效期和域名匹配，还必须确认其未被吊销。主流验证方式有：

• OCSP（Online Certificate Status Protocol）：浏览器实时向 CA 指定的 OCSP 响应器发起查询，获取“good / revoked / unknown”状态。现代部署普遍启用 OCSP Stapling 以规避隐私与性能问题。
• CRL（Certificate Revocation List）：CA 定期发布已吊销证书序列号列表，浏览器下载并本地比对。因体积膨胀与更新延迟，CRL 在 Web 场景中已逐步退居次要地位。

当任一机制返回 “revoked”，Chrome 即触发 ERR_CERT_REVOKED 错误。值得注意的是：Let’s Encrypt 自 2021 年起已弃用 CRL，完全依赖 OCSP；而 Sectigo、DigiCert 等主流 CA 同时维护双通道。

触发吊销的典型场景

CA 不会随意吊销证书，但以下情况必然触发：

• 私钥泄露（如服务器被入侵、日志误存 PEM 文件）
• 证书申请信息造假（如伪造企业资质申请 OV/EV 证书）
• 域名所有权变更且未及时重验证（尤其多域名证书中某子域失控）
• 客户主动申请吊销（如迁移至新证书、合规审计要求）

真实运维中，我们曾处理过一起因 Nginx 配置错误导致私钥被写入 access.log 的事故——CA 在 4 小时内完成人工审核并吊销，后续所有访问均报 ERR_CERT_REVOKED。

工程实践与部署经验

快速定位与应急响应

发现该错误后，切勿直接跳过警告。第一步应使用 SSL证书检查工具 输入域名，查看实时吊销状态及 OCSP 响应结果。若确认为 revoked，需立即：

1. 停用原证书私钥（从所有服务器、CDN、负载均衡器中移除）
2. 生成全新 CSR，避免复用旧私钥
3. 重新提交证书申请（DV 可秒级签发；OV/EV 需重新验证）
4. 部署新证书后，通过 DNS解析记录查询 确认无缓存污染

注意：通配符证书（通配符SSL证书）一旦吊销，其覆盖的所有子域名（如 api.example.com、shop.example.com）将同时失效，影响面远超单域名证书。

浏览器兼容性与用户侧表现

Firefox 与 Safari 对吊销响应策略略有差异：Firefox 默认启用 OCSP 强制检查，但允许用户在高级设置中关闭；Safari 采用内置的 CRLSet 机制，每日静默更新，不依赖实时网络请求。因此同一张被吊销证书，在 Chrome 中立即报错，而在 Safari 中可能延迟数小时才生效。

移动端表现更复杂：Android WebView 复用系统 CA 存储，但部分定制 ROM 会屏蔽 OCSP 请求；iOS 则严格遵循 Apple Root Program 要求，对吊销响应极为敏感。这意味着企业微信、支付宝小程序内嵌页若使用被吊销证书，将直接白屏，且无明确错误提示。

常见问题

Q：ERR_CERT_REVOKED 能手动忽略继续访问吗？ A：技术上可通过 chrome://flags/#unsafely-treat-insecure-origin-as-secure 临时绕过，但该操作禁用全部 HTTPS 安全保障，等同于裸奔，严禁用于生产环境或任何含敏感数据的页面。

Q：免费 SSL 证书（如 Let’s Encrypt）被吊销后能免费重发吗？ A：可以。Let’s Encrypt 允许无限次重申请，但受速率限制约束（每周 5 次 per domain）。建议使用 acme.sh 脚本实现自动续期，避免人工疏漏。

Q：如何预防证书被意外吊销？ A：严格管控私钥生命周期——禁止明文存储、禁用 SSH 密钥转发、定期轮换服务器登录密钥；对 OV/EV 证书，确保 WHOIS 信息与工商登记完全一致，避免因信息不一致触发人工审核吊销。