Xác minh tính xác thực của một chứng nhận trên máy tính
Khi một ứng dụng nhận được nội dung được bảo mật hoặc được ký số từ internet, như các website được bảo mật bằng HTTPS hay phần mềm có chữ ký, nó sẽ phải xác minh xem chứng nhận được sử dụng để bảo mật nội dung như SSL hay chứng nhận xác thực mã này có hợp lệ hay không.
Các ứng dụng như các trình duyệt web và hệ điều hành, xác thực các chứng nhận sử dụng Danh sách thu hồi chứng nhận hay Giao thức trạng thái chứng nhận trực tuyến.
Phương thức xác minh
Các ứng dụng sử dụng hai loại phương thức xác minh để kiểm tra tính hợp lệ của một chứng nhận số.
Danh sách thu hồi chứng nhận (CRL) — CRL là danh sách các chứng nhận bị thu hồi. Các ứng dụng sử dụng CRL để xác minh chứng nhận sẽ tự động tải về toàn bộ tập tin CRL và kiểm tra trạng thái của chứng nhận với danh sách. Nếu chứng nhận bị thu hồi và có tên trong CRL, ứng dụng sẽ không tin tưởng nó.
Giao thức trạng thái chứng nhận trực tuyến (OCSP) — Dịch vụ OCSP sẽ dựa trên truy vấn. Các ứng dụng sử dụng OCSP sẽ kiểm tra trạng thái của chứng nhận mà không cần phải tải CRL về. OCSP sẽ trả lời là "tốt" hay "bị thu hồi".
Biểu đồ này là phần chỉ dẫn về cách thức mà các ứng dụng và hệ điều hành nói chung sử dụng để xác minh chứng nhận. Tuy nhiên, một số ứng dụng hoặc hệ điều hành có thể được cấu hình hơi khác một chút.
Nhà cung cấp phần mềm sẽ quyết định phương thức xác thực. Cơ quan cấp chứng nhận sẽ không kiểm soát cách xác thực một chứng nhận
| Windows® 2000 | Windows XP / Windows Server 2003 | Windows Vista | Windows 7 / Windows Server 2008 | Mac® OS X | |
|---|---|---|---|---|---|
| Internet Explorer® | CRL | CRL | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng | Không xác định |
| Firefox® | OCSP | OCSP | OCSP | OCSP | OCSP |
| Safari® | Không xác định | CRL | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng |
| Chrome | Không xác định | CRL | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng |
| Opera® | OCSP và CRL | OCSP và CRL | OCSP và CRL | OCSP và CRL | OCSP và CRL |
| Xác minh chứng nhận xác thực mã | CRL | CRL | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng | OCSP trước tiên; sẽ sử dụng CRL nếu OCSP không khả dụng |
Truy cập Dịch vụ CRL và OCSP
CRL và OCSP sử dụng HTTP để truy xuất thông tin từ các máy chủ sau. Nếu bạn là quản trị viên mạng của công ty, đảm bảo rằng tất cả các máy tính trong mạng công ty khi gặp chứng nhận số do chúng tôi cấp đều có thể truy cập vào các dịch vụ CRL và OCSP này.
| Dịch vụ | Tên máy chủ lưu trữ DNS | IP đích | Cổng |
|---|---|---|---|
| CRL | crl.godaddy.com certificates.godaddy.com crl.starfieldtech.com certificates.starfieldtech.com |
72.167.18.237 72.167.18.238 72.167.239.237 72.167.239.238 188.121.36.237 188.121.36.238 182.50.136.237 182.50.136.238 50.63.243.228 50.63.243.229 |
tcp/80 |
| OCSP | ocsp.godaddy.com ocsp.starfieldtech.com |
72.167.18.239 72.167.239.239 188.121.36.239 182.50.136.239 50.63.243.230 |
tcp/80 |
Bảng này có thể thay đổi theo thời gian khi chúng tôi mở rộng phạm vi dịch vụ của mình.
