文章浏览阅读3.5k次，点赞9次，收藏24次。首先我们知道在PKI体系中，证书的生命周期如下所示，对于一个可信任的 CA 机构颁发的有效证书，在证书到期之前，只要 CA 没有把其吊销，那么这个证书就是有效可信任的。有时，由于某些特殊原因（比如私钥泄漏，证书信息有误，CA 有漏洞被黑客利用，颁发了其他域名的证书等等），需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢？为解决对CA证书有效性方面的查询，PKI引入了CRL（Certificate Revocation List）和OCSP（Online Certificate_ocsp_request_add0_id