未分類
1 11 月 2020

被吊销的 SSL 证书在 PC 的 chrome 上奇怪问题

被吊销的 SSL 证书在 PC 的 chrome 上奇怪问题

資深大佬 : 19930618 0

我今天 vx 公众号上访问: https://wxjj.scienmedia.com/ 。提示证书存在问题
然后我用 ios 自带的 safari 和 chrome 上也是提示证书异常
可我在 PC 端的 chrome 上访问提示证书有效。
用 myssl.com 检测,提示证书被吊销
我就不信邪,把 chrome 更新到最新。。还是证书有效。。
后来我用 IE 。。发现连 IE 都报证书已被吊销。。
可我的 PC 端的 chrome 始终提示是有效的。。奇怪

没事了。过了 1 个小时。chrome 也提示无效了

大佬有話說 (6)

  • 資深大佬 : ahhui

    Edge 也不能提示已被吊销,IE 和 Firefox 都可以。好奇怪。不知道为什么。

  • 資深大佬 : ahhui

    https://certificate.revocationcheck.com/wxjj.scienmedia.com
    这里可以看到是

    OCSP response information
    Source: OCSP server listed in Certificate
    Location: http://ocsp.digicert.com
    Size: 490 bytes (DER)
    Response time: 110.531034ms
    Signature algorithm: SHA256-RSA
    Signature type: CA Signed
    Reported statuses: 1
    This update: Oct 28, 2020 11:44:59 PM
    Next update: Nov 4, 2020 10:59:59 PM
    Produced at: Oct 28, 2020 11:44:59 PM
    Server status: Success
    Status: Revoked

    吊销的。

    Firefox 的设置,隐私和安全里,最下面有一个选项,默认是勾上的:

    查询 OCSP 响应服务器,以确认证书当前是否有效(Q)

    所以,应该是这些浏览器查询了 OCSP 的 验证列表,然后发现吊销的。而 Chrome 可能并没有实时检查吊销列表。

  • 資深大佬 : 19930618

    @ahhui 好像是 chrome 拉 OCSP 的频率比较低,不是每次都去查询有效性。要等浏览器里 OCSP 缓存到期了才会重新去拉

  • 資深大佬 : dzdh

    https://www.anquanke.com/post/id/183339

  • 資深大佬 : foMM

    chrome 不用 ocsp,它用的 CRLsets

  • 資深大佬 : ahhui

    @dzdh 感谢,受教了。