如何在瀏覽器上獲取證書狀態？

有兩種方法可以檢查數字證書的狀態：-

1. 離線身份驗證 (CRL)
2. 線上身份驗證（OCSP、SCVP）

一些瀏覽器（如Mozilla Firefox）已經放棄使用 CRL 而不是 OCSP。

OCSP 和 SCVP 容易受到 MITM 攻擊。

那麼哪種方法是檢查數字證書狀態的主要方法呢？

OCSP 本身不易受到 MITM 攻擊，但它確實存在其他問題：

• 大多數瀏覽器過去都會發生軟故障，例如，如果由於某種原因他們無法獲得 OCSP 響應，它就會允許連接通過。所以攻擊者只需要阻止 OCSP 響應。
• 隱私問題：攻擊者可以看到正在執行的 OCSP 查詢，並可以獲得有關您瀏覽的一些資訊。

這是通過 OCSP 裝訂解決的，伺服器負責獲取 OCSP 響應並將其發送給客戶端（裝訂）。還有一個必須裝訂的擴展，使裝訂成為強制性的，否則竊取伺服器私鑰的 MITM 攻擊者無法裝訂 OCSP 響應。

引用自：https://crypto.stackexchange.com/questions/72426