为什么浏览器默认不需要 OCSP?注意到许多浏览器默认忽略通过在线证书状态协议(OCSP) 检查网站 TLS 证书撤销状态的失败。
对于关心或只是好奇的用户,是否有一种简单的方法(例如工具)来监视 OCSP 请求并在连接失败时检测或记录?例如,浏览器扩展会很方便。
我对所有流行的平台和浏览器都很好奇。
更新:多查了一下,发现了基本 OCSP 流程的解释以及如何使用 openssl 逐步进行操作:使用 OpenSSL 进行 OCSP 验证。
-----BEGIN WHINE-----
回到 HTTP 成为一把粗鲁的瑞士军刀之前的美好时光,我只需要捕获“OCSP 端口”的所有数据包。但是不——OCSP 是在 HTTP 之上分层的,所以我需要的不仅仅是一个简单的基于 pcap 的工具:我需要找出哪些 HTTP URL 与 OCSP 相关,并解析更多冗长的对话
......-- ---结束抱怨-----
我最近的大部分经验都是使用Tumbleweed 桌面验证器(现在是 Axway?)——它可以插入浏览器,也可以通过一系列配置选项独立工作。它会检查 OCSP 并在发生不良情况时弹出警告。我认为您也可以将其配置为拒绝访问。
它不是唯一的产品,只是我最近和最频繁使用的产品。许多 OCSP 服务器制造商都有客户端产品,因为它只是等式的另一半。恐怕我不知道任何免费的。
我刚刚想出的东西:它需要一些微调,但这可以用于快速测试(警告,输出不是很漂亮!)
sudo tshark -i eth1 -f "tcp port http" -R "ocsp.responses || ocsp.Request" -V -T text
它的作用是监视 eth1(我的 Internet 接口)中的 http 数据包,获取它们,过滤那些内容类型为 ocsp-response 或 ocsp-request 的数据包并打印解码后的数据包,这样人们就可以看到发生了什么。
它需要微调,因为它显示有关 ip 和 tcp 标头字段的信息,并尽可能详细地详细说明所有 ocsp 响应字段。
同样的过滤器可以应用于wireshark以获得更漂亮的输出。