明有效期转载链接：https://www.cnblog(2)

1. 验证证书是否在有效期内。

在服务端面返回的证书中会包含证书的有效期，可以通过失效日期来验证 证书是否过期

2. 验证证书是否被吊销了。

被吊销后的证书是无效的。验证吊销有CRL(证书吊销列表)和OCSP(证书检查)两种方法。

证书被吊销后会被记录在CRL中，CA会定期发布CRL。应用程序可以依靠CRL来检查证书是否被吊销了。

CRL有两个缺点，一是有可能会很大，下载很麻烦。针对这种情况有增量CRL这种方案。二是有滞后性，就算证书被吊销了，应用也只能等到发布最新的CRL后才能知道。

增量CRL也能解决一部分问题，但没有彻底解决。OCSP是证书状态检查协议。应用按照标准发送一个请求，对某张证书进行查询，之后服务器返回证书状态。

OCSP可以认为是即时的（实际实现中可能会有一定延迟），所以没有CRL的缺点。明有效期

3. 验证证书是否是上级CA签发的。

当站点由HTTP转成HTTPS后是更安全了，但是有时候要看线上的请求数据解决问题时却麻烦了，因为是HTTPS的请求，你就算拦截到了那也是加密的数据，没有任何意义。

在本机把证书移到本机IIS中的某个网站的物理目录中，然后在手机浏览器中访问该证书的目录 如："192.168.0.102：8001/FiddlerRoot.crt"

此时手机会提示按装根证书，其实安装一个不受信的根证书是非常危险的，如果你安装了某些钓鱼网站或者有危害的根证书，那只要是该根证书下的所有证书都会验证通过，

很可能让用户有财产损失。所以在安装根证书时，手机系统会要求你输入锁屏密码，以确保是本人操作。

要解释这个问题，就需要了解最开始的Https的验证原理了，回顾一下，先是客户端把自己支持的加密方式提交到服务端，然后服务端 会返回一个证书

又以服务端的身份与客户端(手机)通信。也就是说在一次请求中数据被两次加解密，一次是手机到Fiddler，一次是Fiddler到真正的服务端。

写了这么多，其实也只是把Https的基本流程写清楚了一部分，这其中每一个步骤深入下去都是一门学科，而对于我们而言，能清楚其大致运作流程，做到心中有数据就算可以了，

Https在目前的网络数据安全传输占据着重要地位，目前可能也没有更优的方案来代替Https。明有效期另外一定要注意 不要随便安装不确定的的根证书，以免带来不必要的损失。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-64306-2.html