我在IE8上通过webpagespeedtesttesting我的https页面,在一次运行中,我注意到发送到oscp.godaddy.com的一堆OSCP请求 。 在之前的运行中,我从未注意到任何此类请求
浏览器什么时候决定发送这样的请求? 这与我昨天搬迁托pipe服务提供商的事实有关吗?
IE依靠CryptoAPI执行任何证书吊销/状态检查任务,因此可能是:
所以CryptoAPI的链式引擎决定需要关于这些证书之一是否最近被撤销的更新信息。
任何给定的证书操作都可能导致CRL检索或基于OCSP的检查; Windows将cachingCRL响应的有效期(或由其最大年龄HTTP标头指定的OCSP响应),这可能解释了为什么偶尔会看到它,而不是定期/频繁地看到它。
要自己“走上CDP链”,打开证书并进入“证书path”选项卡 – 这显示了生成证书的CA的层次结构。 打开每一个,然后查看其详细信息选项卡 – 每个级别的CRL位置是客户端需要检查和caching的信息,以便完全信任证书(发布的Root必须被您的机器信任,连锁工作); 如果启用了OCSP,则AIA扩展也是很重要的。
或者,将证书保存到一个.CER文件,然后运行总是很热闹
CERTUTIL -verify -urlfetch mycert.cer 命令查看链接引擎的行动。