請問有IE中網際網路選項->進階->安全性->檢查伺服器憑證撤銷*,相關檢查流程或資料嗎?(如何檢查判定),勾不勾選有何影響,麻煩有相關知識的高手可供參考。
已邀請的邦友 {{ invite_list.length }}/5
IE 與伺服器連線時
透過檢查幾個項目
判斷伺服器憑證是否有效合法
包括
1.憑證的簽發者(及其上線、上上線...)合法性
2.憑證的識別對象和網址是否相符
3.憑證的有效日期
技術上的實作
以上幾點都由 IE 獨力完成
而針對上面第3點的「有效日期」
除了看憑證裡面登錄的有效日期之外
較安全的做法是「向憑證簽發單位詢問該憑證是否己遭註銷失效」
可以防止「在有效日期內的失效憑證」情形
這就有點像你拿身分證去銀行辦業務
銀行人員除了看身分證以外
還會上內政部網站查詢意思一樣
這個選項就類似「上內政部網站查詢」
如果你相信你要連線的網站是安全的
那麼這個選項勾不勾都無妨
所以它會連到GCA(「向憑證簽發單位詢問該憑證是否己遭註銷失效」)判定是否被撤銷是嗎?
關於第一點的判斷簽發者(及其上線、上上線...)合法性,是對GCA的資料庫做核對,亦或是有另一個機關專門核對的伺服器?
GCA 我想你是指台灣的 GCA吧
如果是 GCA (或其下線)發的憑證
可參考GCA 提供的 CRL
而第 1 點的判斷
只靠 IE 工具->網際網路選項->內容->憑證 這些
就可以進行驗證
Hi,
當您下載憑證後, 您可以檢視一下憑證的內容, 其中會有一欄是CRL發布點, 透過CRL便能夠知道這張憑證是否被撤銷.
每張憑證都有自己的CRL, 就算是內部的CA也必須有.
iThome鐵人賽
看影片追技術