https://nullpxl.com/post/revocation-confusion/
簡單解釋了憑證撤銷的舊流程
1. 對 OCSP Server 做查詢 根據這篇文章 沒有人認真做這件事情 所以當 OCSP Server Fail 瀏覽器的通常行為是軟失敗(直接放行)
https://www.feistyduck.com/newsletter/issue_121_the_slow_death_of_ocsp
也提到 Let's Encrypt 已經關閉 OCSP Server
Chrome 也預設禁用了這個查詢
其中有提到一個可以降低 OCSP Server 的協定 OCSP stapling
由伺服器去請求 OCSP Server 取得這個 cert 沒有過期的簽名 並包進去回給 client 但好像沒有人重視
2. CRL
一個列表 包含了"大量" revoke cert 的清單
由於太大量 文中提到 Chrome -> CRLSets 是 Chrome 對 CRL 的額外實現
FireFox 也正在進行另一個 CRLite 的實現
...還得是大佬我發現證書被 revoke 我一定直接嘗試簽一個新的
簡單解釋了憑證撤銷的舊流程
1. 對 OCSP Server 做查詢 根據這篇文章 沒有人認真做這件事情 所以當 OCSP Server Fail 瀏覽器的通常行為是軟失敗(直接放行)
https://www.feistyduck.com/newsletter/issue_121_the_slow_death_of_ocsp
也提到 Let's Encrypt 已經關閉 OCSP Server
Chrome 也預設禁用了這個查詢
其中有提到一個可以降低 OCSP Server 的協定 OCSP stapling
由伺服器去請求 OCSP Server 取得這個 cert 沒有過期的簽名 並包進去回給 client 但好像沒有人重視
2. CRL
一個列表 包含了"大量" revoke cert 的清單
由於太大量 文中提到 Chrome -> CRLSets 是 Chrome 對 CRL 的額外實現
FireFox 也正在進行另一個 CRLite 的實現
...還得是大佬
