您现在的位置:主页 > 美的 >

美的

关于所谓本地ocsp认知的误区(伪国产SSL证书)

  关于所谓国内ocsp认识的误区,拒绝成为过度包装ssl证书抬高价格的噱头

  1.目前所谓的国内ocsp证书并非真正的国产证书,除非他的根证书也是自己品牌的或者他的证书产品和根证书官网提供的证书类型不同。

  2.所谓的国内ocsp证书基本上都是仅仅是在根证书CA那里付费获得一个SubCA的权限,可以修改中间证书的名称,可以修改ocsp的检测域名为自己的域名,并对此域名进行cdn加速,从而客户检测这个域名的ping值非常低,认为是国内证书,而其实源IP仍然是国外的,判断网速并非单纯的ping值,和带宽,服务器源IP都有关系,因此并非使用了cdn加速就能真正加速网站,其实cdn加速后仅仅是为了让别人认为是国内的,甚至是自己造的证书。另外cdn由于是大量站点同时使用,经常存在某个节点慢或挂掉的问题,也会影响速度,而且ssl证书只有几K的大小。

  3.几年前,浏览器确实需要用到ocsp来检测证书是否有效,但从2020年后(确切的是笔者从2021年初开始频繁的检测)以来从未出现过因ocsp问题导致网速卡的问题,最简单的检测办法就是服务器屏蔽国外访问,因为官网证书的ocsp域名和ip都是国外的,如果屏蔽国外访问,理论上ocsp不能检测导致无法识别证书是否有效且网站打开超级慢或根本无法访问,但事实并非如此,屏蔽国外访问的站点比如大量政府网站,游戏服务器网站,他们的域名访问都是正常而且快的,而且笔者也做了测试,屏蔽国外访问后,所有主流浏览器访问仍然是正常的,因此笔者推断目前浏览器检测ssl证书是否有有效应该是通过自带的全球加速的浏览器内核同步webtrust数据,而用户本地ocsp速度并不会影响检测速度,因为浏览器内核是全球加速全球同步的。

  4.使用了所谓国内ocsp域名的ssl证书大部分被包装成所谓的国产证书,而其实仅仅是更换了中间证书的名字和ocsp检测地址的域名且对这个域名进行了cdn加速,数据等信息仍然是国外CA服务器的。并没有自己的技术产权,但是价格却是几倍的提高,真实目的可能只是为了误导小白鼠们的认知以及大量采购员的中间利润。

  5.欢迎对此有兴趣的朋友,采用屏蔽国外访问的访问检测自己网址是否存在访问慢或者无法访问的问题,说明你的站点安装了国外原版ssl证书后并不会被ocsp影响打开速度,如果存在访问慢或无法访问问题欢迎积极留言回复,大家一起探讨,也欢迎长期使用国外官方原版ssl证书的朋友回复发表自己的看法,作者本人的站点近年来访问从未因ssl证书发生过“卡”的问题,当然了,如果服务器本身网速慢或者域名解析响应速度慢,不要怪罪到ssl证书身上,不是任何锅都要由SSL来背。

  6.以上观点仅是作者自己检测的结果和自我认知,不针对任何单位和品牌。返回搜狐,查看更多