Certificates
如何在瀏覽器上獲取證書狀態?
有兩種方法可以檢查數字證書的狀態:-
- 離線身份驗證 (CRL)
- 線上身份驗證(OCSP、SCVP)
一些瀏覽器(如Mozilla Firefox)已經放棄使用 CRL 而不是 OCSP。
OCSP 和 SCVP 容易受到 MITM 攻擊。
那麼哪種方法是檢查數字證書狀態的主要方法呢?
OCSP 本身不易受到 MITM 攻擊,但它確實存在其他問題:
- 大多數瀏覽器過去都會發生軟故障,例如,如果由於某種原因他們無法獲得 OCSP 響應,它就會允許連接通過。所以攻擊者只需要阻止 OCSP 響應。
- 隱私問題:攻擊者可以看到正在執行的 OCSP 查詢,並可以獲得有關您瀏覽的一些資訊。
這是通過 OCSP 裝訂解決的,伺服器負責獲取 OCSP 響應並將其發送給客戶端(裝訂)。還有一個必須裝訂的擴展,使裝訂成為強制性的,否則竊取伺服器私鑰的 MITM 攻擊者無法裝訂 OCSP 響應。