Кешируют ли веб-браузеры сертификаты сервера SSL? Например, если я изменю SSL-сертификат на веб-сервере, все ли веб-браузеры подберут новый сертификат при подключении через SSL или возможно, что у них может быть устаревший сертификат?
Я имею в виду сценарий, когда срок действия сертификата SSL истекает и заменяется новым на веб-сервере.
browser
web
ssl
ssl-certificate
Лорин Хохштайн
источник
источник
Ответы:
Что ж, ответ RedGrittyBrick правильный, но на самом деле не отвечает на вопрос. Вопрос заключался в том, если браузеры делают это, а не в том, должны ли они или должны это делать.
Из того, что я слышал, MSIE и Chrome на самом деле делают кеш-сертификаты и не заменяют их, когда получают новую версию, пока старая действительна. Почему они это делают, я не понимаю, так как это снижает безопасность.
источник
openssl
и Chromium показывают мне новый сертификат. Firefox показывает мне старый, несмотря на перезагрузку с отключенным кешем, очищает весь кеш и офлайн данные и перезагружает браузерНет. Смотрите IBM SSL обзор
Резюме Microsoft аналогично. Рукопожатие TLS также похоже в этом отношении.
На шаге 2 клиент, похоже, не может сказать: «Не беспокойтесь об отправке сертификата сервера, я буду использовать свой кэш».
Обратите внимание, что существует несколько типов сертификатов, клиент, сервер и CA. Некоторые из них кэшируются.
источник
Я не уверен, поможет ли мой вклад каким-либо образом, но вот что я только что испытал: у меня есть веб-сайт в лазури с пользовательским доменом. Я попытался получить доступ к нему с помощью https в цветах перед настройкой привязки SSL для моего доменного имени. Chrome говорил мне, что сайт не защищен, что вполне логично (ERR_CERT_COMMON_NAME_INVALID) Но после того, как я загрузил свой сертификат и настроил привязку SSL в Azure, я все еще получал ту же ошибку. На этом этапе при открытии нового частного окна браузера (или с помощью другого браузера) https работал нормально.
Но я никогда не мог заставить его работать в моей открытой сессии Chrome. Я попытался очистить состояние SSL, тот же результат. Сработало после перезапуска хрома вообще.
Я, вероятно, был обманут чем-то, но это почти выглядело, как будто сертификат был кэширован
источник
Некоторые разработчики браузеров планируют внедрить такую систему для обнаружения атак, таких как атака на Diginotar в 2011 году.
Но на данный момент AFAIK ни одна такая система не работает в современных браузерах. Поэтому вам не нужно думать об этой ситуации при обновлении сертификата сервера.
источник