在使用HTTP协议时传输数据时,为了防止数据被第三方窃听或篡改,不仅有越来越多的网站开启了HTTPS,更有很多网站加入了HSTS Preload List(了解更多有关HSTS的知识)。但实际上,没有绝对的安全,一旦私钥泄露,就会面临数据安全风险。

目前对于这个问题有一个比较好的解决方案,就是颁发证书的CA机构可以吊销所颁发的证书。但是如何吊销证书呢,目前有两种方案,CRL和OCSP。

如果浏览器进行证书吊销检查,就需要在得到证书的响应后向CA的服务器下载CRL列表或发送OCSP请求,但这个过程通常会延长网页加载时间。而且当浏览器无法连接到CA的服务器时,由于浏览器无法得到证书吊销的响应,所以只能根据浏览器的配置,要么接受这个证书(可能带来安全风险),要么拒绝整个证书(可能误伤正常网站)。

由于上述原因,出现了OCSP Stapling与OCSP must-staple来解决这个问题(了解更多有关OCSP的知识)。 本站为了保证本站与用户之间的通信安全,开始使用具有OCSP must-staple扩展的数字证书,同时也向广大网友发出倡议:尽量避免访问使用HTTP这种不安全的协议的网页!当出现证书错误时,不要忽略浏览器的警告而继续访问!不要随意信任陌生的根证书!

分类: 未分类

发表评论

电子邮件地址不会被公开。