let's encrypt OCSP污染都哪些浏览器受到影响？

goubaoaob

iks 发表于 2020-11-22 22:24
OCSP 装订

OCSP 装订后是不是首次打开还会慢呀？

iks

goubaoaob 发表于 2020-11-22 23:46
OCSP 装订后是不是首次打开还会慢呀？

不会，OCSP 装订是绕过浏览器请求 OCSP 并等待响应的阶段

三和大神

goubaoaob 发表于 2020-11-22 23:46
OCSP 装订后是不是首次打开还会慢呀？

肯定不会，服务器事先模拟浏览器对证书链进行验证，然后将OCSP验证结果缓存到本地。
这样，当浏览器访问站点时，在握手阶段，可以直接从自己服务器拿到OCSP响应结果和证书链而不用去请求签发机关的OCSP服务器。

大鸡鸡

ssl stapling

fenglin2020

CF免费版的证书也被污染了吗？

yousihai

三和大神 发表于 2020-11-22 23:59
肯定不会，服务器事先模拟浏览器对证书链进行验证，然后将OCSP验证结果缓存到本地。
这样，当浏览器访问 ...

safari无视ocsp装订，依然会请求ocsp服务器的。

yousihai

证据如下：

我的辣文最好看

yousihai 发表于 2020-11-23 10:46
证据如下：

大佬nb

yousihai

同一网站，使用ie访问（同样强制OCSP的浏览器），没有触发OCSP的独立请求，并且报文中清晰的显示存在OCSP stapling

三和大神

yousihai 发表于 2020-11-23 10:46
证据如下：

可以试试OCSP-Proxy有没有用。
然后Nginx加上：

1. ssl_trusted_certificate /etc/ssl/cert.pem;
   
2. ssl_stapling_responder http://YOUR_PROXY_IP:PORT/;

复制代码

如果也解决不了，那只有花钱买个便宜的了。