https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion
“担心此问题的 Mozilla Firefox 用户应在 about:config 对话框中启用 security.OCSP.require。”
如何在 Google Chrome 中启用此功能?
答案1
Chrome 中没有 about:config,因此没有办法(据我所知)强制使用 OCSP。但是,默认情况下它应该使用 OCSP,如果不起作用则回退到 CRL。此外,Web 浏览器已直接在 Web 浏览器中将被盗证书的序列号列入黑名单,因此如果您升级 Web 浏览器,您将受到完全保护。
答案2
您将得到完全保护……这一次。如果浏览器在 OCSP 或 CRL 服务被证明(或看起来)处于离线状态时不拒绝连接,那么 OCSP 和 CRL 检查就是个笑话。就我而言,当证书无法验证时,所有浏览器都应该拒绝连接,但浏览器制造商不愿意这样做,因为用户会将他们遇到的任何问题归咎于浏览器,并可能切换到限制更宽松的另一个浏览器。
该设置可以在以下位置找到:Google Chrome > 设置 > 高级设置 > 安全 > 检查服务器是否撤销(或类似的操作..我使用的是荷兰语版本)