由于性能降低,Mozilla将会尝试禁用OCSP检查。OCSP,或称在线证书状态协议,是用来检测证书是否已被撤销的一个技术性机制。Firefox的这一变更将会同即将推出的新测试版本Nightly一同出现。如果遥测数据证明了禁用对DV和OV证书的OCSP检查可以减少握手时间,这一做法将会被带到标准版。
这将使Firefox与其他主流浏览器(包括Chrome和Safari)相提并论,其中服务器向客户端直接提供OCSP响应的OCSP装订将不会受到影响。此外, Firefox还将继续为EV(扩展验证)证书提取OCSP响应。
OCSP长期被批评为鸡肋。 由于在全球范围内部署服务的操作性挑战,OCSP通常在“软失败”的情况下终止 – 这意味着在OCSP检查未完成的情况下(因为服务器关闭或连接超时),证书被认为是有效的。因而一旦发生这种状况,OCSP就形同儿戏。 谷歌的工程师亚当·兰利(Adam Langley)甚至嘲讽它为“崩溃时扣上的安全带”。
Mozilla的遥测数据显示,在成功的OCSP检查中,大约9%的检测花了超过1秒的时间。这一秒加在了SSL/TLS握手上,从而大幅延长了整个页面加载的时间。更有甚者(0.05%的OCSP检查)超过3秒!这能忍?
无独有偶,Let’s Encrypt的OCSP服务也在上月早些时候下线了12个小时,影响了不少使用他家证书的用户。去年GlobalSign也被他们的OCSP服务器坑了一回。这些事件都让人不禁疑问,OCSP这么闹心真的还要继续用吗?
Mozilla的安全工程师David Keeler写道:“这次禁用是为了监控遥测数据,看看OCSP是不是真的影响TLS握手时间。”要是真的有用,他们将会在所有Firefox版本中禁用OSCP检查。
其实早在多年前OCSP的性能就已经提升了不少——OCSP装订和Must-Staple的出现都旨在修复性能、安全性和隐私问题。然而不开窍的其实是Apache和Nginx,作为两大最主流的web服务器,他们在OCSP的特性实施上乏善可陈。因而到底坑货是谁?这话还真不好说。
稿源:The ssl store
领取优惠
提交成功!