软考题库
信息安全工程师 · 高频练习

CRL 和 OCSP 为什么用于检查证书是否被吊销?

中级 单选题 第 685 题 中等 信息安全工程师数字证书CRLOCSP证书吊销
内容整理:软考题库编辑部 最近更新:
题目

某网站服务器证书仍在有效期内,域名也匹配,但该证书对应的私钥曾疑似泄露。浏览器或客户端除了检查证书链、有效期和域名外,还需要确认该证书是否已经被 CA 撤销。常见的证书吊销检查机制包括()。

A CRL 或 OCSP
B NAT 或 VLAN
C WBS 或 RBS
D 栈或队列
题目类型:原创高频练习题 用途:用于帮助理解信息安全工程师相关考点和答案解析,不等同于官方真题。
正确答案
A
答案解析

证书在有效期内不代表一定仍可信。如果私钥泄露、主体信息错误或证书不应继续使用,CA 可以吊销证书。CRL 是证书吊销列表,客户端可以检查证书是否出现在列表中;OCSP 是在线证书状态协议,客户端可以向服务查询某张证书当前是否有效、已吊销或状态未知。题干强调证书是否已被撤销,因此选 CRL 或 OCSP。

选项分析

A

正确。CRL 和 OCSP 都用于证书吊销状态检查。

B

错误。NAT 和 VLAN 是网络地址转换和二层网络划分概念,不检查证书状态。

C

错误。WBS 和 RBS 是项目管理中的分解结构,不属于 PKI 证书检查。

D

错误。栈和队列是数据结构,不能判断证书是否被吊销。

本题为什么容易错

很多同学把证书校验简化成“没过期就行”。实际证书还要看是否由可信 CA 签发、域名是否匹配、证书链是否完整、用途是否合适,以及是否被吊销。尤其是私钥泄露后,证书可能还没到期,但必须通过吊销机制让客户端知道不能再信它。

先看结论

简短答案

CRL 和 OCSP 为什么用于检查证书是否被吊销,正确答案是 A(CRL 或 OCSP)。证书在有效期内不代表一定仍可信。如果私钥泄露、主体信息错误或证书不应继续使用,CA 可以吊销证书。CRL 是证书吊销列表,客户端可以检查证书是否出现在列表中;OCSP 是在线证书状态协议,客户端可以向服务查询某张证书当前是否有效、已吊销或状态未知。题干强调证书是否已被撤销,因此选 CRL 或 OCSP。

解析

易混淆概念对比表

概念本题判断区别要点记忆提示
CRL 或 OCSP 本题正确答案 正确。CRL 和 OCSP 都用于证书吊销状态检查。 看到题干核心场景时优先联想到它
NAT 或 VLAN 本题干扰项 错误。NAT 和 VLAN 是网络地址转换和二层网络划分概念,不检查证书状态。 看到该词不要急着选,先判断是否真正解决题干问题
WBS 或 RBS 本题干扰项 错误。WBS 和 RBS 是项目管理中的分解结构,不属于 PKI 证书检查。 看到该词不要急着选,先判断是否真正解决题干问题
栈或队列 本题干扰项 错误。栈和队列是数据结构,不能判断证书是否被吊销。 看到该词不要急着选,先判断是否真正解决题干问题
本题易混淆选项怎么区分
  • NAT 或 VLAN:错误。NAT 和 VLAN 是网络地址转换和二层网络划分概念,不检查证书状态。
  • WBS 或 RBS:错误。WBS 和 RBS 是项目管理中的分解结构,不属于 PKI 证书检查。
  • 栈或队列:错误。栈和队列是数据结构,不能判断证书是否被吊销。
复习

知识点详解

CRL 和 OCSP 都服务于证书生命周期管理。CRL 由 CA 定期发布吊销列表,客户端下载或查询后判断证书序列号是否在列表中;OCSP 则更像在线询问某张证书当前状态。实际系统还会考虑缓存、OCSP Stapling、网络失败策略等问题。软考层面通常抓基础:证书可能提前失效,吊销检查就是为了解决“未到期但不再可信”的情况。

备考速记

速记:证书没过期不等于没挂失。CRL 看黑名单,OCSP 在线问状态。

CRL 在证书吊销场景中的作用

CRL在本题中的核心价值,是解决“某网站服务器证书仍在有效期内,域名也匹配,但该证书对应的私钥曾疑似泄露。浏览器或客户端除了检查证书链、有效期和域名外,还需要确认该证书是否已经被 CA 撤销。常见的证书吊销检查机制包括()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。

拓展

同类题怎么考

  • 给出证书吊销场景,判断应该选择哪个概念、工具、协议或管理过程。
  • 考查CRL的作用,要求从四个相近选项中找出最符合题干目标的一项。
  • 把CRL和NAT 或 VLAN、WBS 或 RBS、栈或队列放在一起考,重点看适用场景是否一致。
  • 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
CRL 在信息安全工程师软考中的考法

软考选择题通常不会只考概念定义,还会把CRL放到证书吊销场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。

解题思路

这题有个很容易忽略的点:证书还没过期,不等于安全。老师讲证书时会打个比方:身份证没到期,但如果已经挂失,就不能按正常证件使用。CRL 和 OCSP 解决的就是“这张证书有没有被挂失”。

考点定位

证书校验不只看有效期和域名,还要看信任链和吊销状态。CRL 是列表,OCSP 是在线状态查询。

易错提醒

  • 只检查证书有效期,不检查吊销状态。
  • 把 OCSP 当成加密算法,忽略它是查询证书状态的协议。
  • 认为证书一经签发,在到期前一定可信。

备考提示

  • 复习 PKI 时,把 CA、数字证书、证书链、CRL、OCSP、私钥泄露放在同一张图里理解。
  • 看到证书没过期但可能不可信,优先想到吊销检查。
  • CRL 记成吊销列表,OCSP 记成在线问状态。

你可能还想了解

  • CRL 和 OCSP 为什么用于检查证书是否被吊销?
  • CRL是什么?
  • CRL在信息安全工程师考试中怎么考?
  • 信息安全工程师CRL题怎么理解?
  • CRL和OCSP作用怎么考?
  • 证书吊销怎么检查怎么考?

本文小结

本题核心考点是CRL在证书吊销场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(CRL 或 OCSP)。