Chrome撤销SSL的撤销检查：你最需要安全带的时候它却断了

\n如果你平时开车的时候安全带都是好好的，但是撞车的时候正好断了会怎样？这样的安全带比鸡肋还要鸡肋。

SSL的证书撤销检查功能就是这样的鸡肋。Google现在宣布撤销其chrome浏览器执行的SSL此项撤销检查功能。

什么是SSL撤销检查（SSL revocation check）？

SSL是许多浏览器普遍采用的保证安全传输的协议。那些以https打头的网址即使用SSL协议，浏览器访问https网站时都会收到一张签署的证书，这张证书可以让浏览器校验自己是否访问到应该访问的网址。证书里面会包含有指向认证中心提供的校验服务，即CRL（证书撤销列表）或者OCSP（在线证书状态协议），由其返回对证书的检查结果，如果结果是合法的，则浏览器就可以正常访问这些网站。

SSL撤销检查软失败

但是，SSL撤销检查并不能保证最终用户的安全，因为Chrome和其他大多数的浏览器即便在这些服务无法确认证书是否被篡改的情况下仍旧会建立网络连接。发生这种情况有可能是是软失败（soft-fail revocation check）：即撤销检查遭遇网络问题，比如说CA服务器暂时宕掉了；但也有可能是网站被俘获了：被俘获的网站有可能不断要求你登录某个https网站（如银行网站），但同时阻止你访问其他网站（如CA的OCSP服务器）。

SSL对于软失败的处理策略是忽略！要命的就是这种忽略，有能力假冒受信网站的攻击者当然也会有能力屏蔽掉那些说证书不再合法的警告，替之以回应说（CA）服务器暂时宕掉了（软失败）。

“因此撤销检查软失败就好比是撞车的时候安全带断了，” Google的研究人员Langley写道：“哪怕它99%的时间能正常工作也没用，因为它只在你不需要的时候工作正常。”

“在线撤销检查的好处难觅，代价却很明显：慢，且危害隐私”，Langley说。因为检查平均耗时为300毫秒，意味着页面加载要1秒钟，很多网站都不愿使用SSL。同时，这些服务还使得认证中心能够收集到用户的IP地址及其访问过的网站。

因此，现在Google决定以自己维护的、可自动更新的被撤销证书列表检查来替代SSL的撤销检查。不过，由于Google还需要跟CA（认证中心）协调自动同步等问题，这项变更还需几个月的时间才能生效。

Via：
\narstechnica