💡
原文中文,约3400字,阅读约需9分钟。
📝
内容提要
文章讨论了Firefox、Chrome和Safari在处理SSL证书吊销信息时的不同策略。Firefox通过OCSP检查证书有效性,但在超时情况下会放行,存在安全隐患。提到OCSP装订和CRLite技术,后者提高查询速度并保护用户隐私。
🎯
关键要点
- Firefox、Chrome和Safari在处理SSL证书吊销信息时的策略不同。
- Firefox通过OCSP检查证书有效性,但在超时情况下会放行,存在安全隐患。
- Firefox在Android上对EV证书进行OCSP校验,跳过DV和OV证书以提高加载速度。
- Chrome和Edge不支持OCSP,Safari的OCSP功能默认禁用。
- SSL证书可能因私钥泄漏或CA漏洞被吊销,用户需依赖CA通知。
- Firefox通过OCSP和软失败机制接收吊销信息,超时情况下继续连接。
- OCSP检查的配置项包括是否开启、是否要求硬失败及超时时间设置。
- OCSP的弊端包括可能导致用户隐私泄漏和访问延迟。
- OCSP装订通过服务器缓存OCSP信息,避免用户直接查询CA。
- CRLite技术有效压缩吊销信息,提升查询速度,仍在开发中。
- CRLite查询速度比OCSP快,Firefox可在CRLite不可用时回退到OCSP。
- Let’s Encrypt计划在2024年关闭OCSP服务,CA/Browser Forum已通过相关投票。
➡️
