文档章节

页面加载被延迟 Firefox将禁用对DV和OV证书的OCSP检查

亚洲诚信
 亚洲诚信
发布于 2017/06/02 08:59
字数 630
阅读 2
收藏 0

由于性能降低,Mozilla将会尝试禁用OCSP检查。OCSP,或称在线证书状态协议,是用来检测证书是否已被撤销的一个技术性机制。Firefox的这一变更将会同即将推出的新测试版本Nightly一同出现。如果遥测数据证明了禁用对DV和OV证书的OCSP检查可以减少握手时间,这一做法将会被带到标准版。

这将使Firefox与其他主流浏览器(包括Chrome和Safari)相提并论,其中服务器向客户端直接提供OCSP响应的OCSP装订将不会受到影响。此外, Firefox还将继续为EV(扩展验证)证书提取OCSP响应。

OCSP长期被批评为鸡肋。 由于在全球范围内部署服务的操作性挑战,OCSP通常在“软失败”的情况下终止 - 这意味着在OCSP检查未完成的情况下(因为服务器关闭或连接超时),证书被认为是有效的。因而一旦发生这种状况,OCSP就形同儿戏。 谷歌的工程师亚当·兰利(Adam Langley)甚至嘲讽它为“崩溃时扣上的安全带”。

Mozilla的遥测数据显示,在成功的OCSP检查中,大约9%的检测花了超过1秒的时间。这一秒加在了SSL/TLS握手上,从而大幅延长了整个页面加载的时间。更有甚者(0.05%的OCSP检查)超过3秒!这能忍?

无独有偶,Let's Encrypt的OCSP服务也在上月早些时候下线了12个小时,影响了不少使用他家证书的用户。去年GlobalSign也被他们的OCSP服务器坑了一回。这些事件都让人不禁疑问,OCSP这么闹心真的还要继续用吗?

Mozilla的安全工程师David Keeler写道:“这次禁用是为了监控遥测数据,看看OCSP是不是真的影响TLS握手时间。”要是真的有用,他们将会在所有Firefox版本中禁用OSCP检查。

其实早在多年前OCSP的性能就已经提升了不少——OCSP装订和Must-Staple的出现都旨在修复性能、安全性和隐私问题。然而不开窍的其实是Apache和Nginx,作为两大最主流的web服务器,他们在OCSP的特性实施上乏善可陈。因而到底坑货是谁?这话还真不好说。

© 著作权归作者所有

亚洲诚信
粉丝 5
博文 111
码字总数 87980
作品 0
程序员
私信 提问
看完Andoird9.0 Pie的隐藏特性,我买了SSL证书

今年 8 月,Google 正式公布了 Android 9.0 ,新的甜点名称也正式揭晓——Pie。这次的大版本升级中,藏着一个不起眼的特性:默认使用 HTTPS 为了将所有网络流量从明文(未加密的 HTTP)逐步迁...

又拍云
2018/08/24
0
0
【大量干货】史上最完整的Tengine HTTPS原理解析、实践与调试

本文邀请阿里云CDN HTTPS技术专家金九,分享Tengine的一些HTTPS实践经验。内容主要有四个方面:HTTPS趋势、HTTPS基础、HTTPS实践、HTTPS调试。 一、HTTPS趋势 这一章节主要介绍近几年和未来H...

樰篱
2018/05/29
0
0
如何在Nginx上正确启用HTTPS,Let’s Encrypt在Ubuntu 16.04 / 17.10上进行加密

如何在Nginx上正确启用HTTPS,Let’s Encrypt在Ubuntu 16.04 / 17.10上进行加密 IMCN 29分钟前暂无评论 阅读 15 次 本教程将向您展示如何在Ubuntu 16.04 / 17.10上使用Let’s Encrypt在Nginx...

IMCN
2017/12/28
0
0
SSL证书简介

前言 之前写了一篇本站点如何部署的文章《Centos7.4下用Docker-Compose部署WordPress(续)-服务器端用Nginx作为反向代理并添加SSL证书(阿里云免费DV证书)》,里面提及了,其实证书主要分为...

无上@诀
2017/11/10
0
0
全民 https 时代,为你盘点关于免费 SSL 证书的那些事儿

目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL 证书的那些事儿。文章重点介绍了几个可以在线申请的免费 SSL 证书的网址,以及个人点评。 根据 Let's Encrypt CA...

局长
2018/01/07
3.6K
15

没有更多内容

加载失败,请刷新页面

加载更多

STM32进阶之串口环形缓冲区实现

队列的概念 在此之前,我们来回顾一下队列的基本概念: 队列 (Queue):是一种先进先出(First In First Out ,简称 FIFO)的线性表,只允许在一端插入(入队),在另一端进行删除(出队)。 队列...

杰杰1号
14分钟前
4
0
设计模式-建造者模式

建造者模式 定义 将一个复杂对象的构建和它的表示分离,使得同样的构建过程创建出不同的表示。这句话理解起来优点抽象,我们打个简单的比方吧,中国人都喜欢做菜,做菜的时候后会放很多配料...

木本本
17分钟前
4
0
017、xml版本代码生成器配置

1、在pom.xml文件中增加mybatis-generator-maven-plugin插件 <build> <plugins> <plugin> <groupId>org.mybatis.generator</groupId> <artifactId>......

北岩
29分钟前
3
0
用jQuery-Easy-UI编写注册页面

本文转载于:专业的前端网站➮用jQuery-Easy-UI编写注册页面 1 <!DOCTYPE html> 2 <html lang="en"> 3 4 <head> 5 <meta charset="UTF-8"> 6 <meta name="viewport" content=......

前端老手
38分钟前
2
0
Git ssh配置

生成密钥对 ssh-keygen -t rsa -C "email@email.com"邮箱替换自己邮箱在地址C:\Users\账户\.ssh下,id_rsa、id_rsa.pub两个文件复制文件id_rsa.pub内容到github\gitlab的Settings-> SSH ......

JUKE
45分钟前
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部