VeriSign SSL证书官方域名被挂博彩

前日，乌云漏洞平台发布“VeriSign SSL证书官网域名被挂博彩”的漏洞，通过百度、谷歌等搜索引擎搜索“site:Verisign.com 娱乐”等关键词，出来结果中有3个与“ Verisign”有关的二级域名，被指向非法的博彩网站，这3个二级域名分别是ocsp.verisign.com, crl.verisign.com, csc3-2010-crl.verisign.com。对于CA来说，OCSP和CRL是非常重要的，用来提供SSL证书状态查询服务。

顺便科普一下吧。

什么是OCSP

OCSP(Online Certificate Status Protocol)，是SSL证书的在线证书状态协议，可实时在线查询SSL证书状态，返回证书可能的三个状态：正常、吊销还是未知，从而判断该证书是有效，还是已过期或被吊销。OCSP对SSL证书的安全是非常重要的，一旦OCSP出了问题，停止服务，则所有SSL证书都会因为查不到有效状态，而出现浏览器严重警告、网站无法继续访问的情况。

通过SSL证书的详细信息，可以检查到证书颁发机构的OCSP服务地址。

什么是CRL

CRL((Certificate Revocation List)，是证书吊销列表，相当于SSL证书黑名单。在没有实现OCSP实时查验之前，很多CA都是通过更新CRL证书吊销列表，来控制SSL证书状态的。浏览器通过CRL吊销列表检查到SSL证书已过期或被吊销，并给出安全警告。如果CRL出了问题，导致证书丢失或被盗却无法吊销，是非常危险的，证书极有可能被用于非法用途而让用户蒙受损失。