[发明专利]检验SSL证书的方法和系统

权利要求书

1.一种检验SSL证书的方法，其特征在于，包括：

客户端在收到Web服务器发送的安全套接层SSL证书后，对所述SSL证书的签发机构进行验证，如果验证不通过，则生成所述SSL证书的散列值，并将所述散列值发送给证书验证服务器；

所述证书验证服务器在接收到所述客户端发送的所述散列值后，将所述散列值与证书黑白名单库中已经存储的散列值进行比对，并将比对结果返回给所述客户端，其中，所述证书黑白名单库包括：白名单库和黑名单库，所述白名单库存储已验证的Web服务器自签发证书的散列值；所述黑名单库存储已知恶意证书的散列值；

所述客户端根据所述比对结果判断所述SSL证书是否为伪造的SSL证书，其中，所述客户端若根据所述比对结果确定所述SSL证书的散列值不属于所述证书黑白名单库，则提示当前访问的所述Web服务器存在风险；

用户若在访问存在风险的Web服务器时发现所述SSL证书是伪造的SSL证书，则通过客户端提交所述Web服务器的统一资源定位符URL地址，所述客户端获取所述Web服务器的SSL证书后，向所述证书验证服务器发送伪造通知消息，其中，所述伪造通知消息包含所述SSL证书的散列值以及所述SSL证书是伪造的SSL证书的信息；以及

所述证书验证服务器在接收到所述伪造通知消息后将所述SSL证书的散列值存入所述黑名单库中。

2.根据权利要求1所述的方法，其特征在于，所述客户端根据所述比对结果判断所述SSL证书是否为伪造的SSL证书的步骤包括：

所述客户端若根据所述比对结果确定所述SSL证书的散列值属于所述白名单库，则确定所述SSL证书不是伪造的SSL证书，进而生成会话密钥，并利用所述SSL证书中包含的所述Web服务器的公钥对所述会话密钥加密，将加密后的会话密钥发送给所述Web服务器。

3.根据权利要求1所述的方法，其特征在于，所述客户端根据所述比对结果判断所述SSL证书是否为伪造的SSL证书的步骤包括：

所述客户端若根据所述比对结果确定所述SSL证书的散列值属于所述黑名单库，则确定所述SSL证书是伪造的SSL证书，进而弹出证书错误信息，阻止用户继续访问所述Web服务器。

4.根据权利要求1所述的方法，其特征在于，

所述散列值包括：消息摘要算法第五版MD5值、安全散列算法第一版SHA-1值或安全散列算法第二版SHA-2值。

5.一种检验SSL证书的系统，其特征在于，包括：

客户端，用于在收到Web服务器发送的SSL证书后，对所述SSL证书的签发机构进行验证，如果验证不通过，则生成所述SSL证书的散列值，并将所述散列值发送给证书验证服务器；并且根据所述证书验证服务器返回的比对结果判断所述SSL证书是否为伪造的SSL证书，若根据所述比对结果确定所述SSL证书的散列值不属于所述证书黑白名单库，则提示当前访问的所述Web服务器存在风险；

所述证书验证服务器，用于在接收到所述客户端发送的所述散列值后，将所述散列值与证书黑白名单库中已经存储的散列值进行比对，并将比对结果返回给所述客户端；以及

所述证书黑白名单库，其包括：白名单库和黑名单库，其中，所述白名单库存储已验证的Web服务器自签发证书的散列值；所述黑名单库存储已知恶意证书的散列值；

其中，用户若在访问存在风险的Web服务器时发现所述SSL证书是伪造的SSL证书，则通过客户端提交所述Web服务器的URL地址，所述客户端获取所述Web服务器的SSL证书后，向所述证书验证服务器发送伪造通知消息，其中，所述伪造通知消息包含所述SSL证书的散列值以及所述SSL证书是伪造的SSL证书的信息，以及所述证书验证服务器在接收到所述伪造通知消息后将所述SSL证书的散列值存入所述黑名单库中。

6.根据权利要求5所述的系统，其特征在于，

所述客户端若根据所述比对结果确定所述SSL证书的散列值属于所述白名单库，则确定所述SSL证书不是伪造的SSL证书，进而生成会话密钥，并利用所述SSL证书中包含的所述Web服务器的公钥对所述会话密钥加密，将加密后的会话密钥发送给所述Web服务器。