openboy 大佬有话说 :
let’s encrypt OCSP污染都哪些浏览器受到影响?
请教大佬
Effervescence 大佬有话说 :
直接换免费的一年吧,只是没有通配符。
我y零kk 大佬有话说 :
主要就苹果的Safari和IE,Chrome和Firefox都不校验LE的OCSP
宣传 大佬有话说 :
chrome、edge、ie
开腥小站长 大佬有话说 :
你在Nginx设置server段里面写一下跳过校验:
ssl_stapling on;
ssl_stapling_verify on;
why? 大佬有话说 :
我y零kk 大佬有话说 : 2020-11-22 14:00
主要就苹果的Safari和IE,Chrome和Firefox都不校验LE的OCSP
Firefox 貌似默认就检验的
我y零kk 大佬有话说 :
why? 大佬有话说 : 2020-11-22 14:13
Firefox 貌似默认就检验的
实际情况是对于LE的证书直接信任
iks 大佬有话说 :
我y零kk 大佬有话说 : 2020-11-22 14:15
实际情况是对于LE的证书直接信任
FireFox 遵循 OCSP 响应中的到期时间(多是一周)
不知道对 Let’s Encrypt Authority X3 是否有特殊政策
目前部分 DV 证书(主要是免费证书提供商)取消了 CRL 分发点这个扩展,验证证书是否吊销只能依靠浏览器黑名单和OCSP响应,目前的方向是取消 subCA 中的 OCSP 响应扩展https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
iks 大佬有话说 :
Safari 受影响最严重;IE, Opera 用户少,不予考虑;Google Chrome 及基于 Chromium 内核且没有修改 OCSP 策略的浏览器不受影响https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif
openboy 大佬有话说 :
iks 大佬有话说 : 2020-11-22 14:50
Safari 受影响最严重;IE, Opera 用户少,不予考虑;Google Chrome 及基于 Chromium 内核且没有修改 OCSP…
Safari包括手机端的吗?