Tag Archives: stapling

Firefox 支援 OCSP Must-Staple

Firefox 宣佈支援 OCSP Must-Staple:「Improving Revocation: OCSP Must-Staple and Short-lived Certificates」。 先前的 SSL certificate 的 revoke 技術目前是透過 CRL 與 OCSP 兩個技術在支撐,前者是列出所有被 revoke 的清單,後者則是瀏覽器主動去指定的 server 確認這個 SSL certificate 是否有效。但這兩個方法都有嚴重的問題。 CRL 的問題是 revoke 清單會愈來愈多。這完全沒辦法 scale。 OCSP 的問題有幾個,一個是熱門網站的 SSL certificate 會讓 OCSP server 的負擔非常重 … Continue reading

Posted in Browser, Computer, Firefox, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , | 1 Comment

換到 nginx 1.6 後把 OCSP stapling 與 SPDY 打開...

剛剛把 nginx 換到 ppa 的版本 (目前是 1.6),然後打開 OCSP stapling 與 SPDY,速度明顯有感覺提昇... OCSP stapling: SPDY: 目前有想到而且能處理的都做的差不多了 :p

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , | 1 Comment

OCSP stapling

OCSP (Online Certificate Status Protocol) 是用來檢查 SSL certificate 是否被撤銷的方法。OCSP server 接受 HTTP POST 後,回答 client 這個 SSL certificate 是否仍然有效。 對於 client 來說,這主要有兩個問題: client 需要多花時間連到 OCSP server 確認。 隱私問題:OCSP server 會知道「這個使用者試著連到使用這個 SSL certificate」的資訊。 而對於 OCSP server 來說,這個方法的 scalability 很差,熱門的站台會產生大量的流量打進 OCSP server。 … Continue reading

Posted in Murmuring | Tagged , , , , , , , | Leave a comment