क्या वेब ब्राउज़र कैश एसएसएल सर्टिफिकेट देते हैं?

26

क्या कोई वेब ब्राउज़र कैश एसएसएल सर्वर सर्टिफिकेट देता है? उदाहरण के लिए, यदि मैं एक वेब सर्वर पर एसएसएल सर्टिफिकेट को बदलता हूं, तो क्या वे सभी वेब ब्राउज़र नए सर्टिफिकेट को तब लेंगे जब वे एसएसएल के माध्यम से जुड़ेंगे, या क्या यह संभव है कि उनके पास एक बासी प्रमाणपत्र हो सकता है?

जब एसएसएल प्रमाणपत्र समाप्त हो जाता है और वेब सर्वर पर एक नया द्वारा प्रतिस्थापित किया जाता है, तो मैं इस परिदृश्य के बारे में सोच रहा हूं।

browser  web  ssl  ssl-certificate 
लोरिन होचस्टीन
स्रोत
मुझे लगता है कि ब्राउज़र यह प्रमाणित करने की तारीख पर तारीख की जांच करता है कि क्या उसे एक नया प्राप्त करने की आवश्यकता है, जैसे कि वह सब कुछ करता है लेकिन मुझे यकीन नहीं है।
soandos
यहाँ एक नज़र imperialviolet.org/2011/05/04/pinning.html "प्रमाणपत्र pinning" के बारे में और HSTS पहल whis पूर्व से संबंधित है पर dev.chromium.org/sts
Shadok
1
2019 तक मेरा क्रोम 75 एसएसएल सर्टिफिकेट
फेबियन थोमेन

जवाबों:

10

खैर, RedGrittyBrick द्वारा उत्तर सही है, लेकिन वास्तव में प्रश्न का उत्तर नहीं दे रहा है। सवाल था, अगर ब्राउज़रों यह करना है, न कि अगर वे ऐसा करना चाहिए या यह करने के लिए की जरूरत है।

मैंने जो सुना है, उसमें से MSIE और Chrome दोनों वास्तव में कैश सर्टिफिकेट देते हैं, और जब तक वे नया संस्करण मान्य नहीं हो जाते तब तक उन्हें प्रतिस्थापित नहीं करते। वे ऐसा क्यों करते हैं यह मेरे लिए समझने की बात नहीं है, क्योंकि यह सुरक्षा को कम करता है।

tuexss
स्रोत
वर्तमान में स्वीकृत उत्तर बहुत स्पष्ट है। यह विशेष रूप से इंगित करता है कि, नहीं , ब्राउज़र प्रमाणपत्रों को कैश नहीं करते हैं। जैसा कि आप बताते हैं कि परिदृश्य बदल गया है, जिन कारणों से क्रोम करता है, अच्छी तरह से प्रलेखित है उन कारणों से लिंक करना आपके लिए अच्छा होगा। चूंकि प्रमाण पत्र अभी भी मान्य है, यह सुरक्षा को "कम" नहीं करता है जो समझ में नहीं आता है।
रामहुंड
3
यह इसे कम करता है, क्योंकि आप एक पुराने SHA-1 कुंजी को नए से बदल नहीं सकते, क्योंकि पुराना अभी भी वैध है, और अगर मैंने सब कुछ सही समझा तो क्रोम नए की उपेक्षा करता है। इसलिए उच्च सुरक्षा मानक के लिए एक स्विच को लागू करने का कोई तरीका नहीं है - इसलिए इसे उच्चतर धक्का देने में सक्षम नहीं करके एक सापेक्ष अर्थ में "कम" करता है। जैसे मुद्रास्फीति आपके पैसे निर्दिष्ट मूल्य को कम नहीं करती है, लेकिन इसका वास्तविक बाजार मूल्य है।
tuexss
5
+1 के बाद StartSSL मिश्रित SHA1 / SHA2 श्रृंखला फ़िस्को , यह स्पष्ट है कि विंडोज पर क्रोम वास्तव में मध्यवर्ती सीट्स को कैशिंग कर रहा है, संभवतः अनिश्चित काल तक। Chrome सर्वर द्वारा भेजे गए किसी भी नए मध्यवर्ती प्रमाणपत्र की उपेक्षा करेगा। हालांकि यह स्पष्ट नहीं है कि कैशिंग सर्वर सर्टिफिकेट की पहचान या मध्यवर्ती प्रमाणपत्र की पहचान के आधार पर है या नहीं और यह वास्तव में उस पहचान का गठन करता है या नहीं।
रॉबर्ट वॉन
3
आज इस मुद्दे को हिट करें, क्रोम और फ़ायरफ़ॉक्स दोनों सामान्य विंडो (पुराने प्रमाणपत्र) और गुप्त मोड (सही एक) में अलग-अलग प्रमाण पत्र दिखाते हैं। कमांड लाइन उपयोगिताओं जैसे कर्ल या ओपनसेल रिपोर्ट निश्चित रूप से सही प्रमाण पत्र है। ब्राउजर के कैशे को साफ़ करके (ctrl + shift + del) - क्रोम के लिए "कुकीज़ और अन्य साइट डेटा" और फ़ायरफ़ॉक्स के लिए "ऑफ़लाइन वेबसाइट डेटा"।
एलील
1
OSX पर फ़ायरफ़ॉक्स (66.0) के कम से कम वर्तमान संस्करण पर जोर से कैश करने के लिए लगता है। कल मैंने अपनी वेबसाइट के लिए एक टीएलएस प्रमाणपत्र अपडेट किया है और सीएलआई opensslऔर क्रोमियम दोनों मुझे नया प्रमाणपत्र दिखाते हैं। फ़ायरफ़ॉक्स मुझे कैश अक्षम के साथ फिर से लोड करने के बावजूद पुराने को दिखाता है, सभी कैश और ऑफ़लाइन डेटा और एक ब्राउज़र पुनरारंभ को साफ़ करता है।
टाड लिस्फी
20

नहीं। आईबीएम एसएसएल अवलोकन देखें

  1. SSL क्लाइंट एक "क्लाइंट हैलो" संदेश भेजता है जो क्रिप्टोग्राफ़िक जानकारी जैसे कि एसएसएल संस्करण और सूची को ग्राहक के वरीयता क्रम में, ग्राहक द्वारा समर्थित सिफरसुइट्स को भेजता है। संदेश में एक यादृच्छिक बाइट स्ट्रिंग भी शामिल है जो बाद की गणना में उपयोग किया जाता है। एसएसएल प्रोटोकॉल क्लाइंट द्वारा समर्थित डेटा संपीड़न विधियों को शामिल करने के लिए "क्लाइंट हैलो" की अनुमति देता है, लेकिन वर्तमान एसएसएल कार्यान्वयन आमतौर पर इस प्रावधान को शामिल नहीं करते हैं।

  2. एसएसएल सर्वर एक "सर्वर हैलो" संदेश के साथ प्रतिक्रिया करता है जिसमें एसएसएल क्लाइंट, सत्र आईडी और एक अन्य यादृच्छिक बाइट स्ट्रिंग द्वारा प्रदान की गई सूची से सर्वर द्वारा चुना गया सिफरसुइट शामिल है। एसएसएल सर्वर अपना डिजिटल प्रमाणपत्र भी भेजता है । यदि सर्वर को क्लाइंट प्रमाणीकरण के लिए डिजिटल प्रमाणपत्र की आवश्यकता होती है, तो सर्वर एक "क्लाइंट प्रमाणपत्र अनुरोध" भेजता है जिसमें समर्थित प्रमाणपत्रों के प्रकार और स्वीकार्य प्रमाणन प्राधिकरणों (सीए) के विशिष्ट नामों की एक सूची शामिल होती है।

  3. एसएसएल क्लाइंट एसएसएल सर्वर के डिजिटल प्रमाणपत्र पर डिजिटल हस्ताक्षर की पुष्टि करता है और जांचता है कि सर्वर द्वारा चुना गया सिफरसुइट स्वीकार्य है।

...

Microsoft का सारांश समान है। टीएलएस हैंडशेक भी इस संबंध में समान है।

चरण 2 में ग्राहक के लिए यह कहने का कोई तरीका नहीं है कि "सर्वर प्रमाणपत्र भेजने में परेशान न हों, मैं अपने कैश का उपयोग करूंगा"।

ध्यान दें कि कई प्रकार के प्रमाण पत्र, क्लाइंट, सर्वर और CA हैं। इनमें से कुछ कैश हैं।

RedGrittyBrick
स्रोत
संशोधित मूल प्रश्न यह स्पष्ट करने के लिए कि यह एक सर्वर प्रमाणपत्र है।
लोरिन होचस्टीन
यह सच नहीं है, और यह मानते हुए कि कैश कैसे काम करता है, इस अवलोकन के कारण कैश नहीं है, कैशिंग को छोड़कर यह एक बहुत बुरा औचित्य है। youtube.com/watch?v=wMFPe-DwULM
इवान कैरोल
एकमात्र कैश जिसका उपयोग किया जा सकता था, वैधता जांच के लिए है, हालांकि यह एक सुरक्षा व्यापार बंद है।
डैनियल बी
0

मुझे यकीन नहीं है कि अगर मेरा इनपुट किसी भी तरह से मदद करेगा, लेकिन यहां जो मैंने अभी अनुभव किया है वह है: मुझे कस्टम डोमेन के साथ एज़्योर में एक वेब साइट मिली है। मैंने अपने डोमेन नाम के लिए SSL बाइंडिंग को कॉन्फ़िगर करने से पहले क्रोम में https के साथ इसे एक्सेस करने की कोशिश की। Chrome मुझे बता रहा था कि वह साइट सुरक्षित नहीं है जो पूरी तरह से समझ में आती है (ERR_CERT_COMMON_NAME_INVALID) लेकिन मैंने अपना प्रमाणपत्र अपलोड करने और SSL बाइंडिंग को azure में कॉन्फ़िगर करने के बाद भी मुझे वही त्रुटि मिल रही थी। इस स्तर पर, जब एक नया निजी ब्राउज़र विंडो खोलना (या किसी अन्य ब्राउज़र का उपयोग करना) https ठीक काम कर रहा था।

लेकिन मैं इसे अपने खुले क्रोम सत्र में काम करने के लिए कभी नहीं प्राप्त कर सका। मैंने स्पष्ट SSL स्थिति की कोशिश की, वही परिणाम। यह क्रोम को पूरी तरह से पुनरारंभ करने के बाद काम करता है।

मैं शायद किसी चीज़ से चकरा गया था, लेकिन यह लगभग ऐसा लग रहा था जैसे कि सर्टिफिकेट को कैश किया गया था ...

एटीन
स्रोत
उस त्रुटि का मतलब यह होगा कि आपने उस साइट को यूआरआई के साथ एक्सेस किया है जो सीएन में थी। क्या आपने वास्तव में बाध्यकारी सेटअप करने के बाद क्रोम में साइट तक पहुंचने के लिए URI को बदल दिया था?
सेठ
नहीं, केवल एक चीज जो मैंने उस समय बदल दी थी वह थी बाध्यकारी। जब मैंने पहली बार https को क्वेर किया था तो इसे डिफ़ॉल्ट azure ssl सर्टिफिकेट का उपयोग करके परोसा गया था, लेकिन मैंने Azure में इसे सही सर्टिफिकेट के साथ बाइंडिंग बदलने के बाद भी यह मुझे परोस रहा था।
एटिएन
जैसा कि आपने कहा कि आपने अपने डोमेन एसएसएल बाइंडिंग को कॉन्फ़िगर किया है, क्या इसका मतलब है कि आपने अपने डोमेन का उपयोग कर सर्वर को गेट गो से प्राप्त किया है या नहीं? त्रुटि यह दर्शाती है कि आपके द्वारा उपयोग किए गए URL और प्रमाणपत्र के लिए URL के बीच अंतर था। मेरा मतलब यही था। यदि आप HSTS और इस तरह के बारे में सोचते हैं तो इसके अलावा आपका वास्तविक सर्वर कॉन्फ़िगरेशन काफी महत्वपूर्ण हो सकता है।
सेठ
1
चरण 1: प्रकाशित वेब साइट को नीला करने के लिए। इस स्तर पर यह डिफ़ॉल्ट azure URL और डिफ़ॉल्ट प्रमाणपत्र दोनों है। चरण 2: वेब ऐप के लिए सेटअप कस्टम डोमेन, अब mysite.com साइट को सही ढंग से इंगित करता है। इस स्तर पर SSL प्रमाणपत्र mysite.com को कॉन्फ़िगर नहीं किया गया है। चरण 3: इस बिंदु पर, साइट को https करने की कोशिश करते समय, मुझे यह कहते हुए सुरक्षा त्रुटि हो रही है कि प्रमाणपत्र मेल नहीं खाता है (और यह सही समझ में आता है) चरण 4: मैं azure और STILL में Mysite.com के लिए SSL प्रमाणपत्र स्थापित करता हूं सुरक्षा चेतावनी क्रोम से पॉप अप होती है। यह किसी अन्य ब्राउज़र में नहीं होता है या यदि मैं एक निजी नौसेना खोलता हूं।
एटिएन
1
चरण 5: मैं क्रोम को पुनरारंभ करता हूं और अब (और केवल अब) मेरी वेब साइट है जो सही एसएसएल प्रमाणपत्र का उपयोग करके परोसी जाती है। इसलिए मेरा निष्कर्ष यह है कि वास्तव में प्रमाण पत्र का कैशिंग मुद्दा था
एटिएन
-1

वहाँ कुछ ब्राउज़र डेवलपर्स की योजनाओं की तरह के हमलों का पता लगाने के लिए इस तरह के एक chaching प्रणाली को लागू करने के लिए कर रहे DigiNotar पर हमले 2011 में।

लेकिन फिलहाल AFAIK वर्तमान ब्राउज़र में ऐसा कोई सिस्टम सक्रिय नहीं है। इसलिए आपको अपने सर्वर प्रमाणपत्र को अपडेट करते समय इस स्थिति के बारे में सोचने की ज़रूरत नहीं है।

रॉबर्ट
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.