OCSP 坑

博客好像又长草了,写点东西拔拔草。最近突然发现 KerNET Limited 有 DUNS 编码,和同事商量后决定买张 EV 证书给 Hostker 挂上。没想到是巨坑的开始…

申请过程花了小半个月,早上 6 点收到 COMODO 的邮件,按照正常流程写上证书链和私钥扔上服务器就继续睡觉。下午测试浏览器兼容时发现 Chrome 和 Firefox 没有问题,Mac 和 iPhone Safari 都没有显示 EV 绿条。并且所有使用 COMODO 的都没有!很多大网站包括 Namecheap 和 COMODO 自己官网!非常的诡异,难道苹果歧视 COMODO???

联系了 COMODO 销售,他们说这是不存在的,Safari 都会显示 EV 绿条。可是联系到几个小伙伴测试都不显示绿条,甚至有小伙伴第一次访问的时候变成 Timeout!重新刷开后域名前面变成一个问号,F12 查证书状态是 ERR_CERT_UNABLE_TO_CHECK_REVOCATION,也就是说…是连不上 OCSP 服务器导致的?

证书颁发机构有可能会因为操作错误、用户退款、系统被黑等情况而发了错误的证书需要撤销,所以会有一个证书吊销列表。可是这个列表太长了不好,所以又有了 OCSP 验证,也就是由浏览器向证书颁发机构发起查询看看这个证书有没有被吊销,没有 OCSP 验证浏览器就不会显示 EV 绿条,中国大陆的小伙伴基本就在这一步被卡住了。

使用 IE 11 测试,发现也不存在 EV 绿条,但是开启全局代理后绿条能正常显示。所以现在 OCSP 的嫌疑最大。上 Mac 用 Proxifier 全局走代理测试,发现抓包有 OCSP 请求,然而 Safari 依旧没有绿条。

COMODO 的 OCSP 服务器 IP 是任播的,中国大陆访问的是位于英国的服务器,线路质量惨不忍睹,TCping 4 个包能丢 3 个。如果真是这个原因,要求他们加亚洲服务器解决就太麻烦了。

这时注意到 SSL Labs 的测试结果里有 OCSP Stapling,查资料发现这个就是救命稻草!它可以由服务器代替浏览器完成 OCSP 验证,并把结果交到浏览器手上。浏览器得到完整证明之后,就不需要再去完成 OCSP 验证。

由于 Hostker 首页位于江苏电信机房,服务器来完成 OCSP 还是超时,因此我们调整了路由表,让服务器走 CN2 链路出口访问到英国的节点完成 OCSP 验证。

Safari 现在终于正常显示 EV 绿条了,辣鸡 IE 11 不支持 OCSP Stapling,不过无所谓了用户数极少。问题解决。卡了我一下午时间 QwQ

OCSP 坑 有 6 个评论

  1. 之前也被 Comodo 的 ocsp 坑过

    现在换 Symantec 的 GlobalSign 了(刚换了不到一个月就说要被取消信任,悲剧

发表评论

电子邮件地址不会被公开。 必填项已用*标注