吊销证书状态后的密钥交换
Key exchange after revoked certificate status
如果网站的证书已被吊销,我正在尝试观察 TLS 流程。然后我找到了一个测试网站“https://revoked.grc.com/”并在我通过 Wireshark 捕获数据包时通过 Google Chrome 发送了一个请求。
在 TLS 期间,服务器 (https://revoked.grc.com/) 向我发送了一个已撤销的证书和证书状态 "REVOKED",然后我在 Google 上显示 "NET::ERR_CERT_REVOKED" 错误 Chrome如我所料。
我还希望在 Wireshark 上显示 "Handshake Failure" 或 "Bad Certificate" 之类的错误,但是当我在 Wireshark 上过滤 TLS 流时,我看到密钥交换已完成!
screen shot of wireshark
知道为什么 Wireshark 捕获是那样的吗?它是 Google Chrome 的安全漏洞吗?
谢谢
没有。这是因为只要签名有效并且日期在当前有效范围内,证书就是有效的。浏览器(或其他系统)知道证书已被吊销的唯一方法是使用 OCSP 查询 CRL,或者通常用于服务器的本地 CRL。
如果您在 PKI 中将证书标记为已吊销,则会在 CRL 中创建一个条目。证书本身没有改变。如果您必须更改证书,您将无法撤销您没有实际拥有的证书。
如果网站的证书已被吊销,我正在尝试观察 TLS 流程。然后我找到了一个测试网站“https://revoked.grc.com/”并在我通过 Wireshark 捕获数据包时通过 Google Chrome 发送了一个请求。
在 TLS 期间,服务器 (https://revoked.grc.com/) 向我发送了一个已撤销的证书和证书状态 "REVOKED",然后我在 Google 上显示 "NET::ERR_CERT_REVOKED" 错误 Chrome如我所料。
我还希望在 Wireshark 上显示 "Handshake Failure" 或 "Bad Certificate" 之类的错误,但是当我在 Wireshark 上过滤 TLS 流时,我看到密钥交换已完成!
screen shot of wireshark
知道为什么 Wireshark 捕获是那样的吗?它是 Google Chrome 的安全漏洞吗?
谢谢
没有。这是因为只要签名有效并且日期在当前有效范围内,证书就是有效的。浏览器(或其他系统)知道证书已被吊销的唯一方法是使用 OCSP 查询 CRL,或者通常用于服务器的本地 CRL。
如果您在 PKI 中将证书标记为已吊销,则会在 CRL 中创建一个条目。证书本身没有改变。如果您必须更改证书,您将无法撤销您没有实际拥有的证书。