Web tarayıcıları SSL sertifikalarını önbelleğe alıyor mu?


26

Herhangi bir web tarayıcısı SSL sunucu sertifikalarını önbelleğe alıyor mu? Örneğin, bir web sunucusundaki SSL sertifikasını değiştirirsem, tüm web tarayıcıları SSL ile bağlandıklarında yeni sertifikayı alır mı yoksa eski bir sertifika alabilirler mi?

Bir SSL sertifikasının süresi dolduğunda ve web sunucusundaki yenisiyle değiştirilirken senaryoyu düşünüyorum.


Tarayıcının, daha yeni bir tane alması gerekip gerekmediğini görmek için sertifikadaki tarihi kontrol ettiğini sanıyorum ama her şeyde olduğu gibi ama emin değilim.
soandos

Buraya bir göz atın imperialviolet.org/2011/05/04/pinning.html "sertifika sabitleme" hakkında ve HSTS girişimi için bu eski dev.chromium.org/sts ile ilgilidir
Shadok

1
2019’dan itibaren Chrome
75’im

Yanıtlar:


10

Peki, RedGrittyBrick'in cevabı doğrudur, ancak soruyu gerçekten cevaplamıyor. Soru, tarayıcılar yaparsa, yapmaları veya yapmaları gerekip gerekmediğidir.

Duyduğuma göre, hem MSIE hem de Chrome aslında önbellek sertifikaları yapıyor ve eskisi geçerli olduğu sürece yeni bir sürüm aldıklarında bunları değiştirmiyorlar. Neden bunu yapıyorlar, güvenliği azalttığı için anlamıyorlar.


Şu anda kabul edilen cevap oldukça açık. Özellikle göstermemektedir, hayır , tarayıcılar sertifika önbelleğe yoktur. Değişen manzaraya dikkat çektiğinizde, Chrome'un nedenleri, iyi belgelenmiştir, bu nedenlerle bağlantı kurmanız iyi olurdu. Sertifika hala geçerli olduğundan, bir anlam ifade etmeyen güvenliği "düşürmez".
Ramhound

3
Bunu düşürür, çünkü eski bir SHA-1 anahtarını yenisiyle değiştiremezsiniz, çünkü eski olan hala geçerlidir ve her şeyi doğru anladıysam Chrome yenisini yoksayar. Bu yüzden, daha yüksek güvenlik standartlarına geçişi zorlama yolu yoktur - bu nedenle daha yüksek itmeye olanak tanıyarak göreceli bir şekilde "düşürür". Tıpkı enflasyonun paranızın karşılığını düşürdüğü gibi değil, gerçek piyasa değerini de.
tuexss

5
+1 StartSSL'nin karışık SHA1 / SHA2 zincir fiyaskoundan sonra, Windows'taki Chrome'un aslında orta düzeydeki paraları muhtemelen süresiz önbelleğe aldığı açıktır. Chrome, sunucu tarafından gönderilen yeni ara sertifikaları yok sayar. Önbelleklemenin sunucu sertifikasının kimliği veya ara sertifikanın kimliği tarafından mı anahtarlandığı ve bu kimliği tam olarak neyin oluşturduğu net değildir.
Robert Važan

3
Bugün sayıya bakıldığında, hem krom hem de firefox normal pencerede (eski sertifika) ve gizli modda (doğru olan) farklı sertifikalar gösteriyor. Curl veya openssl gibi komut satırı yardımcı programları elbette doğru sertifikayı bildirir. Tarayıcı önbelleğini temizleyerek (ctrl + shift + del) - krom için "çerezler ve diğer site verileri" ve firefox için "çevrimdışı web sitesi verileri" düzeltildi.
anilech

1
En azından OSX üzerindeki Firefox sürümü (66.0) oldukça önbellekte duruyor. Dün web sitem için bir TLS sertifikası güncelledim ve hem CLI hem de opensslChromium bana yeni sertifikayı gösterdi. Firefox, önbellek devre dışı bırakılmış olmasına rağmen eski olanı gösterir, tüm önbellek ve çevrimdışı verileri temizler ve tarayıcı yeniden başlatılır.
Tad Lispy

20

Hayır. Bkz. IBM SSL genel bakış

  1. SSL istemcisi, SSL sürümü ve müşterinin tercih sırasına göre, müşteri tarafından desteklenen CipherSuites gibi şifreli bilgileri listeleyen bir "müşteriye merhaba" mesajı gönderir. Mesaj ayrıca müteakip hesaplamalarda kullanılan rastgele bir bayt dizisi içerir. SSL protokolü, "müşteriye merhaba" için müşteri tarafından desteklenen veri sıkıştırma yöntemlerini eklemesine izin verir, ancak mevcut SSL uygulamaları genellikle bu hükmü içermez.

  2. SSL sunucusu, SSL istemcisi tarafından sağlanan listeden sunucu tarafından seçilen CipherSuite'ı, oturum kimliğini ve başka bir rastgele bayt dizesini içeren "sunucu merhaba" iletisiyle yanıt verir. SSL sunucusu ayrıca dijital sertifikasını gönderir . Sunucu, istemci kimlik doğrulaması için dijital bir sertifika gerektiriyorsa, sunucu, desteklenen sertifika türlerinin bir listesini ve kabul edilebilir Sertifika Yetkililerinin Belirlenen Adlarını (CA) içeren bir "istemci sertifikası isteği" gönderir.

  3. SSL istemcisi, SSL sunucusunun dijital sertifikasındaki dijital imzayı doğrular ve sunucu tarafından seçilen CipherSuite'ın kabul edilebilir olduğunu kontrol eder.

...

Microsoft'un özeti benzer. TLS anlaşması da bu konuda benzer.

2. adımda, müşterinin "bir sunucu sertifikası göndermekten zahmet etme, önbelleğimi kullanacağım" demesinin bir yolu görünmüyor.

İstemci, sunucu ve CA gibi çeşitli sertifikalar olduğunu unutmayın. Bunlardan bazıları önbelleğe alınmış.


Bir sunucu sertifikası olduğunu açıklığa kavuşturmak için orijinal soru değiştirildi.
Lorin Hochstein,

Bu doğru değildir ve SSL’nin önbelleğe almayı nasıl hariç tuttuğuna bir genel bakış nedeniyle önbellek olmadığı varsayımı oldukça kötü bir gerekçedir. youtube.com/watch?v=wMFPe-DwULM
Evan Carroll

Kullanılabilecek tek önbellek, bir güvenlik takası olmasına rağmen geçerlilik kontrolleri içindir.
Daniel B,

0

Girişimin herhangi bir şekilde yardımcı olup olmadığından emin değilim ama işte az önce deneyimledim: Özel bir etki alanı olan azure'da bir web sitem var. Alan adımı için SSL bağlamayı yapılandırmadan önce, https ile chromes ile erişmeye çalıştım. Chrome, sitenin güvenli olmadığını ve hangi anlamda mantıklı olduğunu söyledi (ERR_CERT_COMMON_NAME_INVALID) Ancak sertifikamı yükledikten ve SSL bağını masmavi olarak yapılandırdıktan sonra hala aynı hatayı alıyordum. Bu aşamada, yeni bir özel tarayıcı penceresi açarken (veya başka bir tarayıcı kullanırken) https iyi çalışıyordu.

Ancak hiçbir zaman açık Chrome oturumumda çalışmasını sağlayamadım. SSL durumunu temizlemeye çalıştım, aynı sonuç. Krom tamamen yeniden başlatıldıktan sonra çalıştı.

Muhtemelen bir şey tarafından kandırıldım ama neredeyse cert önbelleğe alınmış gibi görünüyordu ...


Bu hata, siteye CN’dekinden farklı bir URI ile eriştiğiniz anlamına gelir. Bağlamayı ayarladıktan sonra, aslında URI’yı siteye krom olarak erişmek için değiştirdiniz mi?
Seth

Hayır, o zaman değiştirdiğim tek şey bağlayıcıydı. İlk önce https'yi sorguladığımda varsayılan azure ssl sertifikası kullanılarak sunuldu, ancak Azure'da doğru cert ile bağlamayı değiştirdikten sonra yine de bana hizmet ediyordu.
Etienne

Etki alanı SSL bağlantınızı yapılandırdığınızı söylediğiniz gibi, bu, etki alanınızı kullanmaya başladığınız yerden kullanarak sunucuya eriştiğiniz anlamına mı geliyor? Hata, kullandığınız URL ile sertifikanın URL'si arasında bir fark olduğunu gösterir. Demek istediğim şey o. Ek olarak, gerçek sunucu yapılandırmanız HSTS ve benzeri şeyler hakkında düşünürseniz çok önemli olabilir.
Seth

1
Adım 1: Azure web sitesi yayınladı. Bu aşamada, hem varsayılan azure URL'sine hem de varsayılan sertifikaya sahiptir. 2. Adım: web uygulaması için özel etki alanı ayarlayın, şimdi mysite.com siteye doğru bir şekilde işaret ediyor. Mysite.com için SSL sertifikası bu aşamada yapılandırılmamıştır. Adım 3: Bu noktada, siteyi https yapmaya çalışırken, sertifikanın eşleşmediğini belirten güvenlik hatası alıyorum (ve mükemmel bir anlam ifade ediyor) Adım 4: Mysite.com için SSL sertifikasını azure ve STILL'e yüklüyorum güvenlik uyarısı Chrome'dan açılıyor. Başka bir tarayıcıda veya özel bir nav açmazsam oluşmaz.
Etienne

1
Adım 5: Chrome'u yeniden başlatıyorum ve şimdi (ve yalnızca şimdi) web sitem doğru SSL sertifikası kullanılarak sunuldu. Bu yüzden benim sonucum, gerçekten de sertifikanın önbellekleme sorunu
Etienne

-1

Bazı tarayıcı geliştiricilerin , 2011'de Diginotar'a yapılan saldırı gibi saldırıları tespit etmek için böyle bir tarama sistemi uygulama planları var .

Ancak şu anda AFAIK mevcut tarayıcılarda böyle bir sistem aktif değildir. Bu nedenle, sunucu sertifikanızı güncellerken bu durumu düşünmeniz gerekmez.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.