Let's Encrypt免费证书不支持OCSP了

哥斯拉 · 发表于前天 22:51

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

警告报错："ssl_stapling" ignored, no OCSP responder URL in the certificate

SB AI一直回复我，证书不完整，让重新申请证书。试了几次，都不行。

搜了一下才知道 Let's Encrypt废除 OCSP 支持了。搜索引擎立大功。

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站内容为站长个人技术研究记录或网络，不提供用户交互功能，所有内容版权归原作者所有。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

IT618发布 · 发表于前天 22:52

ocsp是啥…

浅生 · 发表于前天 22:52

ocsp是啥…

Crystαl · 发表于前天 22:53

啥意思？

IT618发布 · 发表于前天 22:53

说的好高端，不知道是什么。。

独家记忆 · 发表于前天 22:53

什么是 OCSP？
OCSP本质上是一种实时验证数字证书状态的方法。数字证书就像网站的批准印章，确认您访问的网站是安全的，并且其身份已由证书颁发机构 (CA)验证。但是，有时这些证书会被撤销 - 可能是因为该网站遭到黑客攻击或私钥被泄露。当这种情况发生时，浏览器不再信任该证书。

OCSP 允许 Web 浏览器或客户端询问“此证书是否仍然有效？”它会向 OCSP 响应器发送快速检查以查明证书的状态。如果证书已被撤销，响应器会通知浏览器，然后浏览器可以阻止访问该网站。

简而言之，在线证书状态协议是一种实时确保您不会浏览具有无效证书的网站的工具。

OCSP 如何工作？
让我们一步一步地了解 OCSP 的工作过程。您将清楚地了解浏览网页时证书是如何验证的。

客户端请求：每次您使用HTTPS访问网站时（如今大多数网站都使用 HTTPS），您的浏览器都会检查网站的SSL 证书是否有效。为此，它会向OCSP 服务器发送 OCSP 请求。可以将其视为询问服务器，“此证书是否仍然有效？”

OCSP 响应器检查：OCSP 服务器（也称为OCSP 响应器）检查其记录中是否存在浏览器询问的特定证书。响应器由最初颁发证书的认证机构管理，因此它对证书是否仍然有效或是否已被撤销拥有最终决定权。

返回响应：服务器向浏览器发送 OCSP 响应，让其知道证书是否有效、已过期或已被撤销。

OCSP 的关键组件
OCSP 客户端：这是发出请求的 Web 浏览器或应用程序。

OCSP 响应者：回答证书是否仍然有效的服务器。

证书颁发者：颁发证书的受信任组织，负责管理已撤销的证书。

例如，您正在访问一个证书可能被盗用的网站。您的浏览器向 OCSP 响应器发送请求，询问该特定证书的状态。响应器会检查并告知您的浏览器是否可以安全继续。如果一切正常，页面将正常加载。如果没有，您可能会看到SSL 连接警告，告诉您避开。

OCSP 对安全为何如此重要
数字证书的实时验证对于网络安全至关重要。如果没有它，攻击者可以利用已撤销或过期的证书冒充合法网站。OCSP 通过提供即时验证来介入，确保您遇到的证书仍然有效且值得信赖。

如果没有 OCSP，您将面临在不知情的情况下与黑客共享敏感信息的风险。与证书吊销列表等较旧、较慢的方法不同，OCSP 可以快速、及时地检查证书状态。此外，借助OCSP 装订等技术进步，它更快、更私密，减少了浏览器的负载，同时保证了数据的安全。

OCSP 的主要优势
实时安全：即时检查证书的撤销状态，以防止滥用。

速度：比 CRL 更快，减少浏览体验的延迟。

效率：OCSP 装订通过将证书状态与网站请求捆绑在一起来提高性能和隐私。

降低网络钓鱼风险：检测受损的证书，降低陷入虚假网站的可能性。

OCSP 与 CRL（证书吊销列表）
在 OCSP 之前，我们有 CRL。CRL 顾名思义就是已撤销证书的列表。当证书颁发机构撤销证书时，其序列号会添加到列表中。Web 浏览器会检查这些列表以验证证书的状态。听起来很简单，对吧？其实不然。

证书撤销列表通常非常庞大，下载需要花费时间，尤其是在处理许多证书时。例如，假设您一天访问十几个不同的网站。每个网站都需要根据 CRL 进行检查，并且每次您的浏览器都必须下载列表。这会浪费大量带宽和时间。

相比之下，OCSP 速度更快。浏览器无需下载大量已撤销证书列表，而是请求所需的特定证书。这是一个更高效的系统 — 一个 OCSP 请求，一个 OCSP 响应，一切就绪。流量更少，浏览速度更快，安全性更高。

当然，CRL 仍然存在，但由于其效率，OCSP 已在大多数现代安全基础设施中取代了它们。简而言之，使用 OCSP 可以更顺畅、更快速地撤销证书。

什么是 OCSP 装订？
现在您已经了解了 OCSP 的工作原理，让我们来讨论一下OCSP 装订，它将该协议提升到一个新的水平。

通常，当您访问网站时，浏览器会向 OCSP 响应器询问证书是否有效。问题是，这种不断的来回询问会带来隐私问题 — 每次检查证书时，您实际上都在告诉 OCSP 响应器您正在访问哪个网站。让我们面对现实吧，没有人希望被这样跟踪。

OCSP 装订功能应运而生。您的浏览器将不再负责所有工作，网站服务器将为您完成这些工作。服务器向 OCSP 响应器询问证书状态，并将 OCSP 响应“装订”到SSL/TLS 握手中。这样，当您的浏览器连接到网站时，它无需发送单独的 OCSP 请求 — 响应已经存在并准备就绪。

这有几个好处：

提高速度：通过减少额外的 OCSP 协议检查，网站加载速度更快，尤其是对于连接速度较慢的用户。

更多的隐私：由于您的浏览器不需要联系 OCSP 响应器，因此您的浏览习惯仍然是私密的。

对于网站所有者来说，OCSP 装订是轻而易举的事情。它易于实施，可提高性能并保护用户隐私。

OCSP 的挑战和局限性
尽管 OCSP 有很多好处，但它并不完美。一个主要问题是它依赖实时通信。OCSP 服务器需要在线并可响应请求，但如果服务器出现故障，就会产生可靠性问题。浏览器通常必须做出艰难的选择——阻止访问网站或仍然加载它，这可能会给用户带来风险。

还有延迟问题。由于 OCSP 检查是实时进行的，因此可能会降低浏览体验，尤其是当 OCSP 服务器距离较远或流量较大时。这就是为什么 OCSP 装订是一项如此重要的发展——它有助于通过减少不必要的步骤来减少延迟。

最后，如前所述，OCSP 可能会引发隐私问题。每次您的浏览器向 OCSP 响应器发送请求时，它都会揭示您正在访问某个网站的事实。虽然这对每个人来说都不一定是一件大事，但对于重视隐私的用户来说，这是一个需要考虑的问题。

总结
OCSP 对于在线安全至关重要，可确保保护我们数据的数字证书保持有效且不受损害。它提供实时状态检查，比证书吊销列表等旧方法更有效。借助 OCSP 装订等增强功能，浏览变得更快、更私密。

尽管存在延迟和隐私问题等挑战，OCSP 仍然是互联网安全的重要组成部分，可以在您浏览网页时确保您的连接安全。