Firefox将尝试禁用对DV和OV证书的OCSP检查

发布日期：2017-06-01

由于性能降低，Mozilla将会尝试禁用OCSP检查。OCSP或称在线证书状态协议，是用来检测证书是否已被撤销的一个技术性机制。Firefox的这一变更将会同即将推出的新测试版本Nightly一同出现。如果遥测数据证明了禁用对DV和OV证书的OCSP检查可以减少握手时间，这一做法将会被带到标准版。

这将使Firefox与其他主流浏览器(包括Chrome和Safari)相提并论，其中服务器向客户端直接提供OCSP响应的OCSP装订将不会受到影响。此外， Firefox还将继续为EV(扩展验证)证书提取OCSP响应。

OCSP长期被批评为鸡肋。由于在全球范围内部署服务的操作性挑战，OCSP通常在“软失败”的情况下终止 - 这意味着在OCSP检查未完成的情况下(因为服务器关闭或连接超时)，证书被认为是有效的。因而一旦发生这种状况，OCSP就形同儿戏。谷歌的工程师亚当·兰利(Adam Langley)甚至嘲讽它为“崩溃时扣上的安全带”。

Mozilla的遥测数据显示，在成功的OCSP检查中，大约9%的检测花了超过1秒的时间。这一秒加在了SSL/TLS握手上，从而大幅延长了整个页面加载的时间。更有甚者(0.05%的OCSP检查)超过3秒!这能忍?

无独有偶，Let's Encrypt的OCSP服务也在上月早些时候下线了12个小时，影响了不少使用他家证书的用户。去年GlobalSign也被他们的OCSP服务器坑了一回。这些事件都让人不禁疑问，OCSP这么闹心真的还要继续用吗?

Mozilla的安全工程师David Keeler写道：“这次禁用是为了监控遥测数据，看看OCSP是不是真的影响TLS握手时间。”要是真的有用，他们将会在所有Firefox版本中禁用OSCP检查。

其实早在多年前OCSP的性能就已经提升了不少——OCSP装订和Must-Staple的出现都旨在修复性能、安全性和隐私问题。然而不开窍的其实是Apache和Nginx，作为两大最主流的web服务器，他们在OCSP的特性实施上乏善可陈。因而到底坑货是谁?这话还真不好说。

Firefox将尝试禁用对DV和OV证书的OCSP检查

数字证书

技术支持

关于沃通

旗下网站