Xác minh tính xác thực của một chứng nhận trên máy tính

Khi một ứng dụng nhận được nội dung được bảo mật hoặc được ký số từ internet, như các website được bảo mật bằng HTTPS hay phần mềm có chữ ký, nó sẽ phải xác minh xem chứng nhận được sử dụng để bảo mật nội dung như SSL hay chứng nhận xác thực mã này có hợp lệ hay không.

Các ứng dụng như các trình duyệt web và hệ điều hành, xác thực các chứng nhận sử dụng Danh sách thu hồi chứng nhận hay Giao thức trạng thái chứng nhận trực tuyến.

Phương thức xác minh

Các ứng dụng sử dụng hai loại phương thức xác minh để kiểm tra tính hợp lệ của một chứng nhận số.

Danh sách thu hồi chứng nhận (CRL) — CRL là danh sách các chứng nhận bị thu hồi. Các ứng dụng sử dụng CRL để xác minh chứng nhận sẽ tự động tải về toàn bộ tập tin CRL và kiểm tra trạng thái của chứng nhận với danh sách. Nếu chứng nhận bị thu hồi và có tên trong CRL, ứng dụng sẽ không tin tưởng nó.

Giao thức trạng thái chứng nhận trực tuyến (OCSP) — Dịch vụ OCSP sẽ dựa trên truy vấn. Các ứng dụng sử dụng OCSP sẽ kiểm tra trạng thái của chứng nhận mà không cần phải tải CRL về. OCSP sẽ trả lời là "tốt" hay "bị thu hồi".

Biểu đồ này là phần chỉ dẫn về cách thức mà các ứng dụng và hệ điều hành nói chung sử dụng để xác minh chứng nhận. Tuy nhiên, một số ứng dụng hoặc hệ điều hành có thể được cấu hình hơi khác một chút.

Nhà cung cấp phần mềm sẽ quyết định phương thức xác thực. Cơ quan cấp chứng nhận sẽ không kiểm soát cách xác thực một chứng nhận

Windows® 2000 Windows XP / Windows Server 2003 Windows Vista Windows 7 / Windows Server 2008 Mac® OS X
Internet Explorer® CRL CRL OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng Không xác định
Firefox® OCSP OCSP OCSP OCSP OCSP
Safari® Không xác định CRL OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng
Chrome Không xác định CRL OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng
Opera® OCSP và CRL OCSP và CRL OCSP và CRL OCSP và CRL OCSP và CRL
Xác minh chứng nhận xác thực mã CRL CRL OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng

Truy cập Dịch vụ CRL và OCSP

CRL và OCSP sử dụng HTTP để truy xuất thông tin từ các máy chủ sau. Nếu bạn là quản trị viên mạng của công ty, đảm bảo rằng tất cả các máy tính trong mạng công ty khi gặp chứng nhận số do chúng tôi cấp đều có thể truy cập vào các dịch vụ CRL và OCSP này.

Dịch vụ Tên máy chủ lưu trữ DNS IP đích Cổng
CRL crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com
72.167.18.237
72.167.18.238
72.167.239.237
72.167.239.238
188.121.36.237
188.121.36.238
182.50.136.237
182.50.136.238
50.63.243.228
50.63.243.229
tcp/80
OCSP ocsp.godaddy.com
ocsp.starfieldtech.com
72.167.18.239
72.167.239.239
188.121.36.239
182.50.136.239
50.63.243.230
tcp/80

Bảng này có thể thay đổi theo thời gian khi chúng tôi mở rộng phạm vi dịch vụ của mình.


Bài này có hữu ích không?
Cảm ơn về phản hồi của bạn. Để nói chuyện với một đại diện của dịch vụ khách hàng, vui lòng sử dụng số điện thoại hỗ trợ hoặc tùy chọn trò chuyện ở trên.
Rất vui vì chúng tôi đã giúp được bạn! Chúng tôi có thể làm gì thêm cho bạn?
Rất tiếc về điều đó. Vui lòng cho chúng tôi biết điều gì làm cho bạn bối rối và vì sao giải pháp không khắc phục được vấn đề này.