Перевірка чинності сертифіката на вашому комп’ютері

Коли застосунок отримує з Інтернету вміст із цифровим підписом або захищений вміст, наприклад, з веб-сайтів із захистом HTTPS або з підписаних програм, він має перевірити, чи є сертифікат, використаний для захисту вмісту, такий як сертифікат SSL або сертифікат підпису коду, чинним.

Такі застосунки, як веб-браузери та операційні системи, перевіряють сертифікати за допомогою списків відкликання сертифікації або протоколу статусу сертифікатів у мережі.

Способи перевірки

У застосунках для підтвердження чинності цифрового сертифіката використовуються два типи способів перевірки:

Списки відкликання сертифікації (Certification Revocation List, CRL). CRL - це список відкликаних сертифікатів. Застосунки, що використовують CRL для перевірки сертифікатів, автоматично завантажують файл CRL цілком і перевіряють статус сертифіката за списком. Якщо сертифікат відкликано та включено до CRL, застосунок не може довіряти йому.

Протокол статусу сертифікатів у мережі (Online Certificate Status Protocol, OCSP). Служба OCSP працює на основі запитів. Застосунки, що використовують OCSP, можуть перевірити статус сертифіката без завантаження CRL. OCSP дає відповідь «чинний» або «відкликаний».

На цій діаграмі показано процедури перевірки сертифікатів поширеними застосунками та операційними системами. Проте деякі застосунки або операційні системи залежно від своєї конфігурації можуть працювати інакше.

Спосіб перевірки визначається постачальниками програмного забезпечення. Центр сертифікації не має контролю над перевіркою сертифікатів.

Windows® 2000 Windows XP / Windows Server 2003 Windows Vista Windows 7 / Windows Server 2008 Mac® OS X
Internet Explorer® CRL CRL Спочатку OCSP; за відсутності OCSP використовується CRL Спочатку OCSP; за відсутності OCSP використовується CRL Немає даних
Firefox® OCSP OCSP OCSP OCSP OCSP
Safari® Немає даних CRL Спочатку OCSP; за відсутності OCSP використовується CRL Спочатку OCSP; за відсутності OCSP використовується CRL Спочатку OCSP; за відсутності OCSP використовується CRL
Chrome Немає даних CRL Спочатку OCSP; за відсутності OCSP використовується CRL Спочатку OCSP; за відсутності OCSP використовується CRL Спочатку OCSP; за відсутності OCSP використовується CRL
Opera® OCSP і CRL OCSP і CRL OCSP і CRL OCSP і CRL OCSP і CRL
Перевірка сертифікатів підпису коду CRL CRL Спочатку OCSP; за відсутності OCSP використовується CRL Спочатку OCSP; за відсутності OCSP використовується CRL Спочатку OCSP; за відсутності OCSP використовується CRL

Доступ до служб CRL і OCSP

CRL і OCSP за протоколом HTTP отримують інформацію від зазначених далі серверів. Якщо ви адміністратор мережі у своїй організації, обов’язково переконайтеся, що всі комп’ютери у вашій мережі, які можуть зустріти випущений нами цифровий сертифікат, мають доступ до цих служб CRL і OCSP.

Служба Імена хостів DNS IP-адреси призначення Порт
CRL crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com
72.167.18.237
72.167.18.238
72.167.239.237
72.167.239.238
188.121.36.237
188.121.36.238
182.50.136.237
182.50.136.238
50.63.243.228
50.63.243.229
tcp/80
OCSP ocsp.godaddy.com
ocsp.starfieldtech.com
72.167.18.239
72.167.239.239
188.121.36.239
182.50.136.239
50.63.243.230
tcp/80

Ця таблиця може з часом змінюватися в міру розширення наших послуг.


Чи була ця стаття корисною?
Дякуємо за відгук
Ми раді, що змогли допомогти! Що ще ми можемо для вас зробити?
Нам дуже прикро. Як ми можемо вам допомогти?