每个人似乎都同意保护私钥非常重要,这样加密的 Internet 才能保持不变(例如,参见证书颁发机构如何存储他们的私钥根密钥?)。然而,根据 www.grc.com 和其他来源,许多浏览器,尤其是移动浏览器,不会检查站点是否由于密钥泄露或任何其他原因而被吊销的证书(请参阅 https://www.grc.com/revocation.htm)。即使是新的移动版 Firefox for iOS 似乎也不会检查网站的证书是否被吊销。
我的问题很简单:为什么会容忍这种情况?这似乎很重要,尤其是随着支持电子商务的移动浏览器的日益普及……
检查撤销很容易。但是决定失败后该怎么做并不是。
在您链接的网站上,史蒂夫吉布森写道:
大部分证书吊销系统都被严重破坏并且实际上不起作用!
对。
再往下,他写道:
确实存在好的和完整的解决方案。
我不这么认为。不幸的是,他没有详细说明。
据我了解,这取决于如果撤销检查没有产生答案而只是超时,该怎么做。
如果确实存在使用吊销证书对您的攻击,那么攻击者可能无论如何都会控制网络并阻止与吊销检查服务器的通信。这是撤销检查的概念缺陷。
使用不同方法解决该问题的一些方法是:
更新于 2015 年 12 月 30 日星期三 Hanno Böck 关于吊销检查问题的出色帖子。请参阅剩余问题部分:2015-11-18,TLS 证书生态系统的变化,第 2 部分
撤销确实令人发指。通常发生的情况是操作系统更新手动将它们从浏览器本身中删除,而不是浏览器通过某种形式的撤销列表将其删除。我认为这些天浏览器更新也会更新/删除浏览器证书。