浏览器验证网站域名证书是否有效是在哪一步判断的啊

wawos

是在tls链接完成建立前就会判断证书是否有效吗,

还是在tls链完成建立了, 但还没正式开始传送内容前,

还是在单个https访问完成后才去验证证书是否有效的啊?

wawos

如果是前2种就要验证证书是否还有效,

每个https访问都要去判断验证, 不会大大降低访问体验吗?

因为判断证书是否有效, 肯定是要利用网络去证书机构官方在线获取判断的啊

Typeboom

wawos 发表于 2024-11-16 22:40
如果是前2种就要验证证书是否还有效,

每个https访问都要去判断验证, 不会大大降低访问体验吗?

OCSP stapling

wawos

Typeboom 发表于 2024-11-16 22:45
OCSP stapling

查了一下, 几乎97%的网站都没有开OCSP证书装订,

而且就算网站自身开了OCSP装订, 难道浏览器不需要从证书机构官网获取查询就能判断证书是否有效了?

证书吊销、过期....不从证书官方获取信息它能判断?

icon

root@localhost:~# curl --cert-status https://www.google.com -v
*   Trying 142.250.179.132:443...
* Connected to www.google.com (142.250.179.132) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server accepted h2
* Server certificate:
*  subject: CN=www.google.com
*  start date: Oct 21 08:38:45 2024 GMT
*  expire date: Jan 13 08:38:44 2025 GMT
*  subjectAltName: host "www.google.com" matched cert's "www.google.com"
*  issuer: C=US; O=Google Trust Services; CN=WR2
*  SSL certificate verify ok.
* No OCSP response received
* Closing connection 0
* TLSv1.3 (OUT), TLS alert, close notify (256):
curl: (91) No OCSP response received

haozi

1.除非证书强制OCSP校验，不然只有苹果的Safari会强制检查，其他都不管或者后台异步检查。
2.OCSP检查只会检查一次，缓存个好几天。
3.随着证书有效期逐步缩短OCSP协议未来可能会逐步废弃

luckyc

你的电脑上住着有很多个大哥啊，比如
比如 DigiCert、GeoTrust、Comodo/Sectigo、GlobalSign、Thawte、Symantec、RapidSSL、AlphaSSL。
大哥们手上拿着一半虎符（根证书）
然后浏览器要访问网站，就对服务器说，我要连接hostloc.com
于是服务器就把hostloc.com的证书（虎符）给浏览器说，这是DigiCert大哥给的介绍下
浏览器把服务器给的虎符和DigiCert大哥的虎符进行验证，两符相对，严丝合缝
可信的连接就建立完成了，这个时候才开始干正事
浏览器为了确保万无一失，也会在后续打电话到DigiCert的总部确认一下他那个虎符有没有问题

不可信是无法建立安全连接的，强制建立连接就是**（浏览器显示不安全的连接）

wawos

luckyc 发表于 2024-11-17 00:56
你的电脑上住着有很多个大哥啊，比如
比如 DigiCert、GeoTrust、Comodo/Sectigo、GlobalSign、Thawte、Syma ...

是不是浏览器只是简单的和内置根证书验证一下,

确实是可行机构颁发的就放行, 正常访问 正常加载页面,

正常访问的同时, 后台也会向官方查询证书是否过期、吊销,
只有在收到证书已经明确无效, 才会把当前页替换成拦截的提示页,

那如果官方的OCSP域名访问不通畅检查证书失败了呢? 浏览器会默认证书有效还是无效呢

luckyc

wawos 发表于 2024-11-17 01:03
是不是浏览器只是简单的和内置根证书验证一下,

确实是可行机构颁发的就放行, 正常访问 正常加载页面,

是的
查询不到或者没有OCSP都是有效的。
你自己生成一个根证书导入到系统里，自己就可以对所有域名生成证书，都是有效可信的。
只是在别人电脑上不可信而已
信不信任是本地行为