CRLite:Mozilla 的新型证书吊销检查方案
当我们讨论 HTTPS 安全性时,证书吊销检查是一个常被忽视但至关重要的环节。传统的 OCSP(Online Certificate Status Protocol)存在隐私和性能问题,Mozilla 提出的 CRLite 提供了一种更优的解决方案。本文将深入探讨 CRLite 的设计原理、与 OCSP 的对比,以及如何在实际环境中应用。 传统 OCSP 的问题 在了解 CRLite 之前,我们先回顾一下传统 OCSP 面临的挑战: 1. 隐私泄露 OCSP 请求会直接向 CA 的 OCSP 服务器发送请求,这会暴露用户的浏览行为。攻击者可以通过监控 OCSP 请求来确定用户正在访问哪些网站。 1 2 # 模拟 OCSP 请求 openssl s_client -connect example.com:443 -status 2>/dev/null | grep -A 10 "OCSP response" 2. 性能瓶颈 每次建立 HTTPS 连接时,客户端都需要额外查询 OCSP 服务器,这增加了握手延迟。如果 OCSP 服务器响应缓慢,会直接影响用户体验。 1 2 3 # 测试 OCSP 响应状态(使用 timeout 防止卡住) timeout 5 openssl s_client -connect ocsp....