Проверка действия сертификата на вашем компьютере

Когда приложение получает из Интернета контент с цифровой подписью или защищенный контент, например, с веб-сайтов с защитой HTTPS или из подписанных программ, оно должны проверить, действителен ли сертификат, использованный для защиты контента, такой как сертификат SSL или сертификат подписи кода.

Такие приложения, как веб-браузеры и операционные системы, проверяют сертификаты с помощью списков отзыва сертификации или протокола статуса сертификатов в сети.

Способы проверки

В приложениях для подтверждения действительности цифрового сертификата используются два типа способов проверки:

Списки отзыва сертификации (Certification Revocation List, CRL). CRL — это список отозванных сертификатов. Приложения, использующие CRL для проверки сертификатов, автоматически загружают весь файл CRL и проверяют статус сертификата по списку. Если сертификат отозван и включен в CRL, приложение не может доверять ему.

Протокол статуса сертификатов в сети (Online Certificate Status Protocol, OCSP). Служба OCSP работает на основе запросов. Приложения, использующие OCSP, могут проверять статус сертификата без загрузки CRL. OCSP дает ответ «действующий» или «отозванный».

На этой диаграмме показана процедура проверки сертификатов распространенными приложениями и операционными системами. Однако некоторые приложения или операционные системы в зависимости от своей конфигурации могут работать иначе.

Способ проверки определяется поставщиками программного обеспечения. Центр сертификации не контролирует проверку сертификатов.

Windows® 2000 Windows XP / Windows Server 2003 Windows Vista Windows 7 / Windows Server 2008 Mac® OS X
Internet Explorer® CRL CRL Сначала OCSP; при отсутствии OCSP используется CRL Сначала OCSP; при отсутствии OCSP используется CRL Нет данных
Firefox® OCSP OCSP OCSP OCSP OCSP
Safari® Нет данных CRL Сначала OCSP; при отсутствии OCSP используется CRL Сначала OCSP; при отсутствии OCSP используется CRL Сначала OCSP; при отсутствии OCSP используется CRL
Chrome Нет данных CRL Сначала OCSP; при отсутствии OCSP используется CRL Сначала OCSP; при отсутствии OCSP используется CRL Сначала OCSP; при отсутствии OCSP используется CRL
Opera® OCSP и CRL OCSP и CRL OCSP и CRL OCSP и CRL OCSP и CRL
Проверка сертификатов подписи кода CRL CRL Сначала OCSP; при отсутствии OCSP используется CRL Сначала OCSP; при отсутствии OCSP используется CRL Сначала OCSP; при отсутствии OCSP используется CRL

Доступ к службам CRL и OCSP

CRL и OCSP за протоколом HTTP получают информацию от указанных дальше серверов. Если вы администратор сети в своей организации, обязательно убедитесь, что все компьютеры в вашей сети, которым может встретиться выпущенный нами цифровой сертификат, имеют доступ к этим службам CRL и OCSP.

Сервис Имена хостов DNS IP-адреса назначения Порт
CRL crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com
72.167.18.237
72.167.18.238
72.167.239.237
72.167.239.238
188.121.36.237
188.121.36.238
182.50.136.237
182.50.136.238
50.63.243.228
50.63.243.229
tcp/80
OCSP ocsp.godaddy.com
ocsp.starfieldtech.com
72.167.18.239
72.167.239.239
188.121.36.239
182.50.136.239
50.63.243.230
tcp/80

Эта таблица может со временем изменяться по мере расширения наших услуг.


Помогла ли вам эта статья?
Благодарим вас за отзыв. Чтобы связаться с сотрудником службы поддержки клиентов, позвоните по номеру этой службы или воспользуйтесь опцией чата выше.
Мы рады вам помочь! У вас остались вопросы?
Приносим извинения. Расскажите нам, какие затруднения вы испытываете или почему рекомендованное решение не помогло устранить проблему.