网络浏览器何时发送 OCSP 请求?

网络浏览器何时发送 OCSP 请求?

我正在通过以下方式测试我的 https 页面网页速度测试在 IE8 上,有一次我注意到一堆OSCP 请求发送到 oscp.godaddy.com。在之前的运行中我从未注意到任何此类请求。

浏览器何时决定发送此类请求?这和我昨天更换托管服务提供商有关吗?

答案1

IE 依赖加密API执行任何证书撤销/状态检查任务,因此有可能:

  • 向浏览器提供了 SSL 证书
  • 这是使用该证书列出的 CDP 链以及颁发的证书链中的任何 CA CDP(CRL 分发点 - 可从中获取 CRL 的 URL)进行验证的
  • 颁发链中证书的有效 CRL 版本未在本地缓存

因此,CryptoAPI 的链接引擎决定它需要更新的信息来确定其中一个证书是否最近被撤销。

对证书的任何给定操作都可能导致 CRL 检索或基于 OCSP 的检查;Windows 将缓存 CRL 响应的有效期(或其 max-age HTTP 标头指定的 OCSP 响应),这也许可以解释为什么您偶尔会看到它,但不定期/频繁地看到它。

要亲自“浏览”CDP 链,请打开证书并转到“证书路径”选项卡 - 这显示了生成证书的 CA 的层次结构。打开每个证书,然后查看其“详细信息”选项卡 - CRL 位置在每个级别是客户端需要检查和缓存以完全信任证书的内容(您的机器必须信任颁发根证书,链中的任何内容才能正常工作);如果启用了 OCSP,则 AIA 扩展也很重要。

或者,将证书保存为 .CER 文件,然后运行总是很有趣的

CERTUTIL -verify -urlfetch mycert.cer 

命令来查看链接引擎的运行情况。

相关内容