基于证书的身份验证通过验证机构检查证书的真实性(证书身份、有效期、CA机构和吊销状态),以确保证书可以信任。如果证书可以证明其身份,则会对其进行验证。
撤销证书有效性以维护物联网安全
物联网证书具备有效期,可以在其整个期限内使用。但是,有时有必要在证书到期之前吊销证书。发生这种情况的原因有很多,包括:
- 在证书过期之前被停用的设备
- 公司或产品线名称的变更
- 私钥丢失或被盗,会危及安全性
使用CRL或OCSP身份验证方法来确保证书的有效性
当需要吊销证书时,GlobalSign的物联网验证机构通过使用证书吊销列表(CRL)或在线证书状态协议(OCSP)吊销证书的良好信誉。
CRL是数字证书的注册清单,定期更新,由CA机构维护,其功能类似于黑名单。向GlobalSign列表服务器发出GET请求,该服务器返回已吊销证书的列表。如果有问题的证书出现在CRL上,则无法对其进行身份验证,因此不应信任该证书。
OCSP是一种更动态的证书验证方法,它可以确定数字证书的当前状态,而无需CRL。应用程序或OCSP客户端将调用放入我们的GlobalSign管理的OCSP响应程序,该响应程序检查和确认证书数据,并立即以证书验证的确认或否定进行响应。