¿Algún navegador web almacena en caché los certificados del servidor SSL? Por ejemplo, si cambio el certificado SSL en un servidor web, ¿todos los navegadores web recogerán el nuevo certificado cuando se conecten a través de SSL, o es posible que puedan tener un certificado obsoleto?
Estoy pensando en el escenario cuando un certificado SSL expira y es reemplazado por uno nuevo en el servidor web.
browser
web
ssl
ssl-certificate
Lorin Hochstein
fuente
fuente
Respuestas:
Bueno, la respuesta de RedGrittyBrick es correcta, pero en realidad no responde la pregunta. La pregunta era, si los navegadores lo hacen, no si deberían o deberían hacerlo.
Por lo que escuché, tanto MSIE como Chrome realmente hacen certificados de caché, y no los reemplazan cuando obtienen una nueva versión siempre que la anterior sea válida. No entiendo por qué lo hacen, ya que reduce la seguridad.
fuente
openssl
como Chromium me muestran el nuevo certificado. Firefox me muestra el anterior a pesar de volver a cargar con la memoria caché deshabilitada, borrando toda la memoria caché y los datos sin conexión y reiniciando el navegador.No. Consulte la descripción general de IBM SSL
El resumen de Microsoft es similar. El apretón de manos TLS también es similar a este respecto.
En el paso 2 no parece haber una manera para que el cliente diga "no se moleste en enviar un certificado de servidor, usaré mi caché".
Tenga en cuenta que hay varios tipos de certificados, cliente, servidor y CA. Algunos de estos están en caché.
fuente
No estoy seguro de si mi entrada ayudará de alguna manera, pero esto es lo que acabo de experimentar: tengo un sitio web en azul con un dominio personalizado. Intenté acceder a él con https en cromos antes de configurar el enlace SSL para mi nombre de dominio. Chrome me decía que el sitio no está protegido, lo cual tiene mucho sentido (ERR_CERT_COMMON_NAME_INVALID) Pero después de cargar mi certificado y configurar el enlace SSL en azul, seguía recibiendo el mismo error. En esta etapa, al abrir una nueva ventana de navegador privado (o usar otro navegador), el https funcionaba bien.
Pero nunca pude hacerlo funcionar en mi sesión abierta de Chrome. Intenté borrar el estado SSL, el mismo resultado. Funcionó después de reiniciar Chrome por completo.
Probablemente fui engañado por algo, pero casi parecía que el certificado estaba en caché ...
fuente
Hay planes de algunos desarrolladores de navegadores para implementar dicho sistema de detección para detectar ataques como el ataque a Diginotar en 2011.
Pero por el momento AFAIK no existe tal sistema activo en los navegadores actuales. Por lo tanto, no tiene que pensar en esta situación cuando actualice su certificado de servidor.
fuente