2024年7月19日 星期五

[研究]GCB的Chrome規則:不論線上OCSP/CRL檢查是否執行

[研究]GCB的Chrome規則:不論線上OCSP/CRL檢查是否執行

2024-07-18 

不論線上OCSP/CRL檢查是否執行

說明:

由於線上撤銷檢查(監測隨機性軟體錯誤)無法提供實際的安全性效效益,因此在 Google Chrome 版本 19 和更新的版本中,系統已預設停用這些檢查。將這項政策設定為True,系統會還原先前行為,並且會執行線上OCSP/CRL 檢查ㆍ

如未設定這項政策,或將政策設定為False,則GoogleChrome 不會在Google Chrome 19 和更新版本中執行線上撤销検查。

********************************************************************************

何謂 OCSP/CRL 檢查 ?

ChatGPT

OCSP(Online Certificate Status Protocol)和 CRL(Certificate Revocation List)是用來驗證數位憑證狀態的兩種方法。

OCSP (Online Certificate Status Protocol)

OCSP 是一種即時查詢數位憑證狀態的協議,主要特點如下:

  • 即時查詢:用戶端可以向 OCSP 伺服器發出請求,詢問某個憑證是否被撤銷。
  • 回應速度快:因為 OCSP 只需查詢單個憑證的狀態,所以相對快速。
  • 減少網絡負擔:OCSP 的查詢和回應資料量較小。

CRL (Certificate Revocation List)

CRL 是一種包含已被撤銷憑證列表的檔案,主要特點如下:

  • 定期更新:CA(憑證授權機構)定期發布 CRL 文件,列出所有被撤銷的憑證。
  • 下載完整列表:用戶端需要下載整個 CRL 檔案來檢查某個憑證是否在撤銷列表中。
  • 較大文件:隨著時間推移,CRL 文件可能會變得很大,導致下載和處理速度變慢。

比較

  • 查詢速度:OCSP 更快,因為它只查詢單個憑證的狀態,而 CRL 需要下載並檢查整個列表。
  • 網絡流量:OCSP 生成的流量較小,而 CRL 可能產生較大流量,特別是在 CRL 文件很大的情況下。
  • 實時性:OCSP 可以即時提供憑證狀態資訊,而 CRL 則依賴於定期更新,因此可能不夠即時。

這兩種方法各有優缺點,具體選擇取決於應用場景和需求。

********************************************************************************

請問為何 OCSP/CRL 檢查 啟用後,

相同網段上,經過相同的防火牆連上 Internet,

Chrome 或 Edge 瀏覽器走 HTTPS 連網站正常;

Chrome 瀏覽器走 HTTPS 但 port 不是 443 連網站失敗;

Edge 瀏覽器走 HTTPS 但 port 不是 443 連網站仍可成功;

ChatGPT

這種現象可能是由於瀏覽器之間處理 OCSP/CRL 檢查和非標準 HTTPS 埠的方式不同所導致的。以下是一些可能的原因和解釋:

1. 瀏覽器處理方式不同

Chrome 瀏覽器在進行 OCSP/CRL 檢查時,可能嚴格要求使用標準 HTTPS 埠(443)。當連接使用非標準埠時,Chrome 可能會因無法正確完成 OCSP/CRL 檢查而阻止連接。

Edge 瀏覽器可能對非標準埠的處理較為靈活,允許在非標準埠上進行 OCSP/CRL 檢查,即使在非標準埠上也能成功完成憑證驗證,因此可以正常連接。

2. 瀏覽器的安全策略

Chrome 瀏覽器的安全策略可能更為嚴格,當使用非標準埠時,如果 OCSP/CRL 檢查遇到問題,它可能會直接阻止連接,視為不安全連接。

Edge 瀏覽器可能有不同的安全策略,允許更多的彈性,特別是在處理非標準埠的 HTTPS 連接時。

3. 設定和實作差異

Chrome 瀏覽器可能在其網絡堆疊中對非標準埠的支持有限,特別是在進行安全檢查和驗證時。

Edge 瀏覽器可能在其設計和實作上對非標準埠的處理更為完善,能夠正確處理 OCSP/CRL 檢查,即使是非標準埠。

4. 瀏覽器更新和版本差異

********************************************************************************
請問為何 OCSP/CRL 檢查 啟用後,
相同網段上,經過相同的防火牆連上 Internet,
Chrome 或 Edge 瀏覽器走 HTTPS 連網站正常;
Chrome 瀏覽器走 HTTPS 但 port 不是 443 連網站失敗;
Edge 瀏覽器走 HTTPS 但 port 不是 443 連網站仍可成功;

ChatGPT

這個情況可能涉及到不同瀏覽器在處理 HTTPS 連線時的一些差異性,特別是在遇到非標準端口(非 443)時的行為可能會有所不同。這裡有幾點可能的原因:

  1. 瀏覽器對非標準 HTTPS 端口的支援不同:一些瀏覽器對於 HTTPS 連線的標準可能有較嚴格的要求,如果不是預設的 443 端口,可能會有特定的處理方式或安全檢查。
  2. 防火牆或代理伺服器設定不同:不同的瀏覽器可能會使用不同的網路堆疊或代理設定。某些防火牆或代理伺服器可能會限制或影響非標準 HTTPS 端口的連線,這可能導致某些瀏覽器無法成功建立連線。
  3. OCSP/CRL 檢查的實作差異:在啟用 OCSP(Online Certificate Status Protocol)或 CRL(Certificate Revocation List)檢查後,不同瀏覽器可能會有不同的實作方式,導致其對於非標準 HTTPS 端口的支援表現不同。

解決這個問題的方法可能需要更深入的網路分析和瀏覽器設定的檢查。你可以進一步探索以下方向:
  1. 瀏覽器設定檢查:確保每個瀏覽器的安全設定和代理設定都是一致的。
  2. 網路分析工具:使用網路封包分析工具(如Wireshark)來觀察瀏覽器在連線時的確切行為和網路交互情況。
  3. 代理設定檢查:確認防火牆或代理伺服器的設定是否對所有瀏覽器都進行了相同的過濾或檢查,特別是對非標準 HTTPS 端口的處理。

********************************************************************************

(完)

張貼者:
標籤: , ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)