Czy jakieś przeglądarki internetowe buforują certyfikaty serwera SSL? Na przykład, jeśli zmienię certyfikat SSL na serwerze sieciowym, czy wszystkie przeglądarki internetowe pobiorą nowy certyfikat, gdy będą się łączyć za pośrednictwem protokołu SSL, czy jest możliwe, że mogą mieć nieaktualny certyfikat?
Myślę o scenariuszu wygaśnięcia certyfikatu SSL i zastąpienia go nowym na serwerze WWW.
browser
web
ssl
ssl-certificate
Lorin Hochstein
źródło
źródło
Odpowiedzi:
Cóż, odpowiedź RedGrittyBrick jest poprawna, ale tak naprawdę nie odpowiada na pytanie. Pytanie brzmiało: czy przeglądarki to robią, a nie czy powinny lub muszą to robić.
Z tego, co słyszałem, zarówno MSIE, jak i Chrome faktycznie wykonują certyfikaty pamięci podręcznej i nie zastępują ich, gdy otrzymają nową wersję, o ile stara jest ważna. Nie robię tego, dlaczego to robią, ponieważ obniża to bezpieczeństwo.
źródło
openssl
i Chromium pokazują mi nowy certyfikat. Firefox pokazuje mi stary pomimo przeładowania z wyłączoną pamięcią podręczną, wyczyszczenia wszystkich pamięci podręcznej i danych offline oraz ponownego uruchomienia przeglądarki.Nie. Zobacz przegląd IBM SSL
Podsumowanie Microsoft jest podobne. Uścisk dłoni TLS jest również pod tym względem podobny.
W kroku 2 wydaje się, że klient nie może powiedzieć „nie zawracaj sobie głowy wysłaniem certyfikatu serwera, użyję mojej pamięci podręcznej”.
Pamiętaj, że istnieje kilka rodzajów certyfikatów: klient, serwer i urząd certyfikacji. Niektóre z nich są buforowane.
źródło
Nie jestem pewien, czy mój wkład w jakikolwiek sposób pomoże, ale oto, czego właśnie doświadczyłem: mam witrynę internetową w lazurowej z niestandardową domeną. Próbowałem uzyskać do niego dostęp za pomocą https w chromach, zanim skonfigurowałem powiązanie SSL dla mojej nazwy domeny. Chrome powiedział mi, że witryna nie jest zabezpieczona, co ma sens (ERR_CERT_COMMON_NAME_INVALID). Ale po przesłaniu certyfikatu i skonfigurowaniu powiązania SSL w kolorze lazuru wciąż pojawia się ten sam błąd. Na tym etapie, podczas otwierania nowego prywatnego okna przeglądarki (lub przy użyciu innej przeglądarki) https działało poprawnie.
Ale nigdy nie udało mi się sprawić, by działał w mojej otwartej sesji Chrome. Próbowałem wyczyścić stan SSL, ten sam wynik. Działa po całkowitym ponownym uruchomieniu Chrome.
Prawdopodobnie coś mnie oszukało, ale wyglądało to prawie tak, jakby certyfikat był buforowany ...
źródło
Niektórzy twórcy przeglądarek planują wprowadzić taki system chaching do wykrywania ataków, takich jak atak na Diginotar w 2011 roku.
Ale w chwili obecnej AFAIK taki system nie jest aktywny w obecnych przeglądarkach. Dlatego nie musisz myśleć o tej sytuacji podczas aktualizacji certyfikatu serwera.
źródło