证书吊销列表检查在 IE 中失败 - 服务器端是否有修复程序?
Certificate Revocation List check Failed in IE - Is there a fix in server side?
我的网站在 Internet Explorer 中有一个安全警报 - "Revocation Information for the security certificate for the site is not available..."。 Chrome 或 Firefox 中没有此类错误。通过一些研究,我发现 Chrome/Firefox 正在使用 OCSP 检查证书是否被吊销。此外,还有一个替代的 OCSP 装订,我可以在我的网络服务器中配置。
我的问题是,
- 为什么 Internet Explorer 无法通过证书吊销状态检查过程,而其他浏览器却能成功?
- 对于没有 OCSP 功能的 Internet Explorer,我们可以在服务器端修复这个问题吗?
- 这是一个真正的漏洞吗?
谢谢,
哈利姆.
Why Internet explorer is failing the Certificate Revocation Status check process while the other browsers are succeeding?
默认情况下,网络浏览器使用软吊销检查失败。如果吊销状态为 RevocationOffline,则会以静默方式跳过错误。某些浏览器可以配置为使用硬吊销检查失败,就像您在 Internet Explorer 中看到的那样。就是这样配置的结果。
Is there a fix that we could do in the server to fix this problem in server side for Internet explorer without OCSP feature ?
Internet Explorer 同时使用 OCSP 和 CRL。 IE 也支持 OCSP 装订。
如果在 TLS 握手期间出现 OCSP 装订,它用于确定吊销状态。
如果 1 失败并且 OCSP URL 可用,则尝试 OCSP。如果 OCSP 以明确的信息响应,吊销检查以响应状态结束。
如果 1 和 2 失败,则尝试 CRL。如果 CRL 信息可访问且最新,则使用它来确定撤销状态。如果 CRL 失败,则会引发 RevocationOffline 错误。
吊销检查可能在每个级别都失败,因此您可能需要进行更彻底的调查。例如,将 Web 服务器 SSL 证书保存到 .CER 文件和 运行 certutil 命令:
certutil -verify -urlfetch path\sslcert.cer
并检查输出是否有错误。
Is this a real vulnerability?
视情况而定。这里的问题是您无法确定所提供的证书是否被其授权机构吊销。如果网站的密钥被泄露和撤销,您将不会注意到并会接受该证书。我认为这是一个需要解决的问题。
我的网站在 Internet Explorer 中有一个安全警报 - "Revocation Information for the security certificate for the site is not available..."。 Chrome 或 Firefox 中没有此类错误。通过一些研究,我发现 Chrome/Firefox 正在使用 OCSP 检查证书是否被吊销。此外,还有一个替代的 OCSP 装订,我可以在我的网络服务器中配置。
我的问题是,
- 为什么 Internet Explorer 无法通过证书吊销状态检查过程,而其他浏览器却能成功?
- 对于没有 OCSP 功能的 Internet Explorer,我们可以在服务器端修复这个问题吗?
- 这是一个真正的漏洞吗?
谢谢, 哈利姆.
Why Internet explorer is failing the Certificate Revocation Status check process while the other browsers are succeeding?
默认情况下,网络浏览器使用软吊销检查失败。如果吊销状态为 RevocationOffline,则会以静默方式跳过错误。某些浏览器可以配置为使用硬吊销检查失败,就像您在 Internet Explorer 中看到的那样。就是这样配置的结果。
Is there a fix that we could do in the server to fix this problem in server side for Internet explorer without OCSP feature ?
Internet Explorer 同时使用 OCSP 和 CRL。 IE 也支持 OCSP 装订。
如果在 TLS 握手期间出现 OCSP 装订,它用于确定吊销状态。
如果 1 失败并且 OCSP URL 可用,则尝试 OCSP。如果 OCSP 以明确的信息响应,吊销检查以响应状态结束。
如果 1 和 2 失败,则尝试 CRL。如果 CRL 信息可访问且最新,则使用它来确定撤销状态。如果 CRL 失败,则会引发
RevocationOffline错误。
吊销检查可能在每个级别都失败,因此您可能需要进行更彻底的调查。例如,将 Web 服务器 SSL 证书保存到 .CER 文件和 运行 certutil 命令:
certutil -verify -urlfetch path\sslcert.cer
并检查输出是否有错误。
Is this a real vulnerability?
视情况而定。这里的问题是您无法确定所提供的证书是否被其授权机构吊销。如果网站的密钥被泄露和撤销,您将不会注意到并会接受该证书。我认为这是一个需要解决的问题。