在 Heartbleed 漏洞的上下文中,我想确保我可以检测到是否有人试图使用被盗证书进行 MITM 攻击,该证书已被撤销。问题是浏览器要么只是软故障,要么根本不检查 CRL,因为软故障是无用的。Firefox 允许强制 OCSP 响应,但它有很大的缺点。有哪些推荐的设置/插件用于检测自宣布 Heartbleed 以来已被吊销的证书?具体来说,我想
- 对 04/07 之前颁发的证书强制执行 OCSP。也许可以回退到诸如Perspectives之类的东西。是否存在任何此类扩展/正在开发中?
- 将我之前访问某个站点的证书的 CRL 记录缓存起来。这对我第一次访问时的 MTM 攻击没有帮助,但我会在任何后续访问中注意到一个带有吊销证书的 MITM。
解决此问题的任何其他扩展设置建议?我很高兴更换浏览器来解决问题,因此欢迎推荐任何浏览器。