SSL证书撤销是使特定数字证书在有效期内提前失效的安全机制。当证书私钥泄露、企业域名变更或证书信息错误时,及时撤销能有效防止不法分子利用旧证书实施中间人攻击。被撤销的证书将失去加密效果,浏览器访问时会显示“SEC_ERROR_REVOKED_CERTIFICATE”错误提示。相较于证书过期自然失效,撤销是主动的安全干预措施。
证书撤销的两种验证机制
目前主流采用两种方式验证证书状态:
- CRL(证书撤销列表):由证书颁发机构维护的被撤销证书序列号清单。客户端获取证书后,需从证书嵌入的CRL分发点下载完整列表进行比对,过程繁琐且列表更新周期通常为5-14天。
- OCSP(在线证书状态协议):通过实时查询CA维护的OCSP应答器,根据序列号单独校验证书状态。这种方式效率更高,能有效规避CRL列表冗长导致的延迟问题。
不同场景下的证书撤销前置条件
执行撤销操作前需满足特定条件:付费证书必须在撤销后方可删除;免费测试证书在任何状态均可直接删除。对于已部署在云服务(如WAF、CDN)的证书,需先解绑所有关联的腾讯云资源,否则直接操作可能导致业务中断。待验证状态的证书则需要先取消审核流程。
通用撤销操作步骤详解
- 登录证书管理控制台,进入“我的证书”页面
- 根据证书类型选择操作:
- 上传托管证书:点击“更多”选择“删除”
- 已过期/已吊销证书:直接点击“删除”按钮
- 在确认提示框中点击“确定”完成操作
Certbot客户端的证书撤销实操
对于Let’s Encrypt等通过Certbot申请的证书,可使用命令行工具执行撤销:
certbot-auto revoke –reason keycompromise –cert-path /etc/letsencrypt/archive/www4.example.com/cert1.pem
其中–reason参数支持指定撤销原因(如密钥泄露),撤销完成后使用certbot delete –cert-name www4.example.com清理证书文件。
服务器配置中的SSL关闭方法
临时关闭SSL证书需修改服务器配置:
| 服务器类型 | 配置文件定位 | 操作方式 |
|---|---|---|
| Apache | conf目录下搜索SSL配置段 | 在配置行前添加“#”注释符号 |
| Nginx | server块内定位ssl_certificate指令 | 注释配置后执行service nginx restart |
跨平台根证书删除指南
在客户端系统中删除根证书的操作各异:
- Windows系统:通过MMC控制台进入证书存储区,右键目标证书选择“属性”,勾选“禁用此证书的所有用途”后重启服务器
- Apple设备:通过Keychain Access工具选择系统根证书,在信任设置中改为“永不信任”
- Firefox浏览器:在选项-高级-证书管理中,通过“权限”选项卡标记证书为不信任
内容均以整理官方公开资料,价格可能随活动调整,请以购买页面显示为准,如涉侵权,请联系客服处理。
本文由星速云发布。发布者:星速云。禁止采集与转载行为,违者必究。出处:https://www.67wa.com/114886.html
