Des navigateurs Web mettent-ils en cache les certificats de serveur SSL? Par exemple, si je modifie le certificat SSL sur un serveur Web, tous les navigateurs Web récupéreront-ils le nouveau certificat lorsqu'ils se connecteront via SSL, ou est-il possible qu'ils aient un certificat périmé?
Je pense au scénario où un certificat SSL expire et est remplacé par un nouveau sur le serveur Web.
browser
web
ssl
ssl-certificate
Lorin Hochstein
la source
la source
Réponses:
Eh bien, la réponse de RedGrittyBrick est correcte, mais ne répond pas vraiment à la question. La question était de savoir si les navigateurs le faisaient et non s'ils devaient ou devaient le faire.
D'après ce que j'ai entendu, MSIE et Chrome font tous les deux des certificats de cache, et ne les remplacent pas lorsqu'ils obtiennent une nouvelle version tant que l'ancienne est valide. Je ne comprends pas pourquoi ils font cela, car cela diminue la sécurité.
la source
openssl
et Chromium me montrent le nouveau certificat. Firefox me montre l'ancien malgré le rechargement avec le cache désactivé, effaçant toutes les données du cache et hors ligne et un redémarrage du navigateur.Voir la présentation IBM SSL
Le résumé de Microsoft est similaire. La prise de contact TLS est également similaire à cet égard.
À l'étape 2, il ne semble pas que le client puisse dire "ne vous embêtez pas à envoyer un certificat de serveur, je vais utiliser mon cache".
Notez qu'il existe plusieurs types de certificats, client, serveur et autorité de certification. Certains d'entre eux sont mis en cache.
la source
Je ne sais pas si mon entrée aidera de quelque façon que ce soit, mais voici ce que je viens de vivre: j'ai un site Web en azur avec un domaine personnalisé. J'ai essayé d'y accéder avec https dans chromes avant de configurer la liaison SSL pour mon nom de domaine. Chrome me disait que le site n'est pas sécurisé, ce qui est parfaitement logique (ERR_CERT_COMMON_NAME_INVALID) Mais après avoir téléchargé mon certificat et configuré la liaison SSL en azur, j'obtenais toujours la même erreur. À ce stade, lors de l'ouverture d'une nouvelle fenêtre de navigateur privé (ou en utilisant un autre navigateur), https fonctionnait bien.
Mais je n'ai jamais pu le faire fonctionner dans ma session Chrome ouverte. J'ai essayé un état SSL clair, même résultat. Cela a fonctionné après avoir redémarré complètement Chrome.
J'ai probablement été trompé par quelque chose, mais il semblait presque que le certificat était mis en cache ...
la source
Il est prévu que certains développeurs de navigateurs mettent en œuvre un tel système de chachages pour détecter des attaques comme l' attaque de Diginotar en 2011.
Mais pour le moment AFAIK, aucun système de ce type n'est actif dans les navigateurs actuels. Par conséquent, vous n'avez pas à penser à cette situation lors de la mise à jour de votre certificat de serveur.
la source