zxd*_*dvd 5 ssl https facebook ocsp ssl-certificate
最近学习了一些关于ocsp的知识。我通过如下命令检查站点的 ocsp 装订:
$openssl s_client -connect www.stackoverflow.com:443 -status -servername www.stackoverflow.com
我发现我自己的网站和 stackoverflow 以及其他一些小网站都有 ocsp 设置。他们有OCSP Response Data指挥响应的能力。
但是当我检查一些大网站如 google.com、github.com、facebook.com 时,他们没有这样的字段。我明白了OCSP response: no response sent。
那么为什么他们不使用它呢?
为了保护您的用户,作为 Web 服务器,您必须使用 OCSP must staple。但即使在这种情况下,您也需要考虑给出的 OCSP 响应通常在多天内有效,因此攻击者可以在证书被吊销之前获取服务器证书的 OCSP 有效状态,并将其作为 OCSP 装订插入在对 Web 客户端进行 MitM 攻击期间的状态(当然,攻击者必须是黑客攻击证书并已吊销证书的攻击者)。因此,不支持 OCSP 装订且需要 OCSP 的浏览器将受到保护。支持 OCSP 装订的浏览器则不会。这就是 OCSP 装订不是最终选择的原因之一。在某些情况下,它是避免安全缺陷的不太安全的方法,而在其他一些情况下,它是无用的。当然,即使这是在互联网上获得更多信任的一个不错的尝试。
因此,谷歌等一些大公司提供了其他方法来保护其客户和使用其浏览器的用户:与其他浏览器相比,他们希望为用户提供更安全的体验,因为他们的目标是获得更多用户。为此,Google Chrome 实施了专有的CRLSets机制。
这些公司和其他公司还希望推广其他方式,让人们在互联网上获得(恢复)信任。例如,一些公司效仿谷歌推广证书透明度机制。因此,从政治角度来说,在他们的网站上实施 OCSP 装订并为互联网建立另一种信任机制是一个坏主意。
我读过的关于证书吊销和保护用户的方法的最佳论文在这里:https ://arstechnica.com/information-technology/2017/07/https-certificate-replication-is-broken-and-its-是时候使用一些新工具了/
| 归档时间: |
|
| 查看次数: |
2175 次 |
| 最近记录: |