TimochanのBlog
·
探究 OCSP(在线证书状态协议)
💡
原文中文,约2900字,阅读约需7分钟。
📝
内容提要
OCSP是一种在线检查证书状态的协议,比CRL更轻量化且实时。Chrome关闭OCSP验证考虑了速度和隐私问题,与Firefox竞争。
🎯
关键要点
- OCSP(在线证书状态协议)用于实时检查证书状态,优于传统的CRL方式。
- Chrome关闭OCSP验证是出于速度和隐私考虑,而Firefox默认开启OCSP查询。
- Chrome不主动请求OCSP,认为这可能泄露用户隐私,影响网页加载速度。
- 实验显示Chrome在证书吊销时未进行OCSP验证,而Firefox能及时报告吊销状态。
- Chrome可以通过特定设置开启OCSP验证,但可能影响加载速度。
- Google与Firefox竞争,选择关闭OCSP以保持Chrome的快速声誉。
- OCSP Stapling技术可以提高OCSP响应速度,但Chrome对其优先级较低。
- 在中国,Let's Encrypt CA的OCSP域名污染导致TLS握手失败,影响用户访问。
- Chrome关闭OCSP的决定可能是为了与Firefox竞争,保持用户对速度的印象。
➡️
