是否有任何 Web 浏览器会缓存 SSL 服务器证书?例如,如果我更改 Web 服务器上的 SSL 证书,所有 Web 浏览器在通过 SSL 连接时是否会获取新证书,或者它们是否可能有过时的证书?
我正在考虑 SSL 证书过期并在 Web 服务器上被新证书替换的场景。
答案1
好吧,RedGrittyBrick 的答案是正确的,但并没有真正回答问题。问题是,如果浏览器这样做,而不是如果他们应该或者需要这么做。
据我所知,MSIE 和 Chrome 实际上都会缓存证书,只要旧证书有效,就不会在新版本发布时替换它们。我不明白他们为什么这样做,因为这会降低安全性。
答案2
我不确定我的意见是否有任何帮助,但这是我刚刚经历的:我在 Azure 中有一个带有自定义域的网站。在为我的域名配置 SSL 绑定之前,我尝试在 Chrome 中使用 https 访问它。Chrome 告诉我该网站不安全,这完全有道理 (ERR_CERT_COMMON_NAME_INVALID) 但在上传我的证书并在 Azure 中配置 SSL 绑定后,我仍然收到相同的错误。在这个阶段,当打开一个新的私人浏览器窗口(或使用另一个浏览器)时,https 工作正常。
但我始终无法在打开的 Chrome 会话中让它工作。我尝试清除 SSL 状态,结果相同。在完全重启 Chrome 后,它就起作用了。
我可能被什么东西欺骗了,但它看起来就像是证书被缓存了一样……
答案3
一些浏览器开发人员计划实施这样的缓存系统,以检测类似对 Diginotar 的攻击在2011年。
但据我所知,目前现有浏览器中尚未启用该系统。因此,您在更新服务器证书时无需考虑这种情况。