SSL 协议指定服务器将其证书发送到客户端的方式。然后，客户端应通过验证证书“获取”服务器公钥。SSL 规范没有描述证书验证；为此，您必须查看X.509，您将在其中看到它比您链接到的文档中描述的过程要复杂得多。

检查吊销状态是证书验证的一部分。客户实际上可以自由地以它认为合适的任何方式进行操作；许多网络浏览器通过类似“mmhh ......它可能没有被撤销，不需要检查任何东西”的过程来“检查”撤销状态。在 X.509 世界中，可以通过下载和验证 CRL（证书撤销列表）或从 OCSP 响应者获取 OCSP 响应（OCSP 响应是一种简化为单个目标证书的 CRL）来确定撤销状态。理论上，应该为所有证书获取吊销状态，即服务器证书以及用于验证服务器证书的中间 CA 证书，以及用于验证 CRL 和 OCSP 响应的所有其他证书（这可能变得高度递归）。

无论如何，验证是获取服务器公钥的方式，因此它发生在 SSL 握手期间，就在客户端发送 ClientKeyExchange 消息之前。

有两种方法可以检查证书的状态：

• CRL（证书撤销列表）；
• OCSP（在线证书状态协议）（以及替代的OCSP 装订方法）。

这些都不是 SSL 特定的，它们就是这样做的：检查证书的状态。所以它们都适用于任何使用证书的东西。