кэшируют ли какие-либо веб-браузеры сертификаты сервера SSL? Например, если я изменю SSL-сертификат на веб-сервере, все ли веб-браузеры получат новый сертификат при подключении через SSL или возможно, что у них может быть устаревший сертификат?
Я думаю о сценарии, когда сертификат SSL истекает и заменяется новым на веб-сервере.
2797
нет. См.обзор IBM SSL
клиент SSL отправляет сообщение "Client hello", в котором перечислены криптографические сведения, такие как версия SSL и, в порядке предпочтения клиента, шифры, поддерживаемые клиентом. Сообщение также содержит случайную байтовую строку, которая используется в последующих вычислениях. Протокол SSL позволяет включить в" приветствие клиента " методы сжатия данных, поддерживаемые клиентом, но текущие Реализации SSL обычно не включают это условие.
сервер SSL отвечает сообщением "Server hello", содержащим шифр, выбранный сервером из списка, предоставленного клиентом SSL, идентификатор сеанса и другую случайную байтовую строку. сервер SSL также отправляет свой цифровой сертификат. Если серверу требуется цифровой сертификат для проверки подлинности клиента, сервер отправляет" запрос сертификата клиента", который содержит список типов поддерживаемых сертификатов и различающихся названий приемлемых центров сертификации (ЦС).
клиент SSL проверяет цифровую подпись на цифровом сертификате сервера SSL и проверяет, что выбранный сервером CipherSuite является приемлемым.
...
резюме Microsoft аналогично. Квитирование TLS также подобно в этом отношении.
на Шаге 2 не похоже, чтобы клиент мог сказать:"не утруждайте себя отправкой сертификата сервера, я буду использовать свой кэш".
обратите внимание, что существует несколько типов сертификатов, клиент, сервер и CA. Некоторые из них кэшируются.
Ну, ответ RedGrittyBrick правильный, но на самом деле не отвечает на вопрос. Вопрос был, если браузеры делают это, а не если они должны или нужно делать это.
из того, что я слышал, как MSIE, так и Chrome на самом деле кэшируют сертификаты и не заменяют их, когда они получают новую версию, пока старая действительна. Почему они это делают не для меня, чтобы понять, как это снижает безопасность.
Я не уверен, если мой вклад поможет в любом случае, но вот что я только что испытал: У меня есть веб-сайт в azure с настраиваемым доменом. Я попытался получить доступ к нему с помощью https в chromes перед настройкой привязки SSL для моего доменного имени. Chrome говорил мне, что сайт не защищен, что вполне имеет смысл (ERR_CERT_COMMON_NAME_INVALID) Но после того, как я загрузил свой сертификат и настроил привязку SSL в azure, я все равно получал ту же ошибку. На данном этапе, при открытии нового частное окно браузера (или с помощью другого браузера) https работал нормально.
но я никогда не мог заставить его работать в моей открытой сессии Chrome. Я попытался очистить состояние SSL, тот же результат. Он работал после перезапуска chrome в целом.
Я, вероятно, был обманут чем-то, но это почти выглядело так, как сертификат был кэширован...
есть планы некоторые разработчики браузеров для реализации такой системы chaching для обнаружения атак, как атака на Diginotar в 2011 году.
но на данный момент AFAIK не работает в текущих браузерах. Поэтому вам не нужно думать об этой ситуации при обновлении сертификата сервера.
 |  |  |  |  |  |  |  |  |  |
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]
Komp
