Os navegadores da web armazenam certificados SSL?

Navegue suas respostas
24

Algum navegador da Web armazena em cache os certificados do servidor SSL? Por exemplo, se eu alterar o certificado SSL em um servidor da Web, todos os navegadores da web escolherão o novo certificado quando se conectarem via SSL, ou será possível que eles tenham um certificado antigo?

Estou pensando no cenário em que um certificado SSL expira e é substituído por um novo no servidor da Web.

    
por Lorin Hochstein 16.02.2012 / 15:10

4 respostas

21

Não. Consulte Visão geral do IBM SSL

  1. The SSL client sends a "client hello" message that lists cryptographic information such as the SSL version and, in the client's order of preference, the CipherSuites supported by the client. The message also contains a random byte string that is used in subsequent computations. The SSL protocol allows for the "client hello" to include the data compression methods supported by the client, but current SSL implementations do not usually include this provision.

  2. The SSL server responds with a "server hello" message that contains the CipherSuite chosen by the server from the list provided by the SSL client, the session ID and another random byte string. The SSL server also sends its digital certificate. If the server requires a digital certificate for client authentication, the server sends a "client certificate request" that includes a list of the types of certificates supported and the Distinguished Names of acceptable Certification Authorities (CAs).

  3. The SSL client verifies the digital signature on the SSL server's digital certificate and checks that the CipherSuite chosen by the server is acceptable.

O resumo da Microsoft é semelhante. O handshake TLS também é semelhante a esse respeito.

Na etapa 2, não parece haver uma maneira de o cliente dizer "não se preocupe em enviar um certificado de servidor, usarei meu cache".

Observe que existem vários tipos de certificados, cliente, servidor e CA. Algumas delas são armazenadas em cache.

    
por 16.02.2012 / 15:25
6

Bem, a resposta da RedGrittyBrick está correta, mas não respondendo a pergunta. A questão era, se os navegadores fazem isso, não se eles devem ou precisam fazê-lo.

Pelo que ouvi, o MSIE e o Chrome realmente armazenam certificados em cache e não os substituem quando recebem uma nova versão, desde que a antiga seja válida. Por que eles fazem isso não é para eu entender, pois diminui a segurança.

    
por 05.02.2015 / 12:42
0

Não tenho certeza se minha contribuição ajudará de alguma forma, mas eis o que acabei de experimentar: Eu tenho um site em azul com um domínio personalizado. Eu tentei acessá-lo com https em cromos antes de configurar a ligação SSL para o meu nome de domínio. O Chrome estava me informando que o site não está protegido, o que faz sentido (ERR_CERT_COMMON_NAME_INVALID) Mas depois que eu carreguei meu certificado e configurei a ligação SSL no azure, eu ainda estava recebendo o mesmo erro. Nesta fase, ao abrir uma nova janela privada do navegador (ou usar outro navegador), o https estava funcionando bem.

Mas nunca consegui que funcionasse na minha sessão aberta do Chrome. Eu tentei limpar o estado SSL, mesmo resultado. Funcionou depois de reiniciar totalmente o chrome.

Eu provavelmente fui enganado por algo, mas quase parecia que o certificado estava em cache ...

    
por 07.04.2017 / 07:25
-1

Existem planos de alguns desenvolvedores de navegador para implementar esse sistema de chaching para detectar ataques como o ataque ao Diginotar em 2011.

Mas, no momento, nenhum sistema desse tipo está ativo nos navegadores atuais. Portanto, você não precisa pensar sobre essa situação ao atualizar seu certificado de servidor.

    
por 16.02.2012 / 16:28

Tags

Quando o Chrome começou a sublinhar os links de maneira diferente? Por que o Quicktime não consegue reproduzir um arquivo de filme codificado pelo FFmpeg? [duplicado]