请教一个关于ssl客户端证书的问题

uoone

昨天买了个sectigo证书用在客户端API接口下

部署之后我通过请求日志看到，客户端首次运行的时候，不仅会访问api地址，还会请求 crt.sectigo.com 这个域名，给我的感觉是验证证书的。

但是 crt.sectigo.com 这个网站是套的cf，并且国内方向dns阻断等等各种访问问题，那么，如果用户请求 crt.sectigo.com 这个域名失败了，是不是就意味着他就无法验证我的api接口地址的ssl？

随后导致无法获取远程内容？

shc

OCSP stapling了解一下

uoone

shc 发表于 2024-12-3 13:51
OCSP stapling了解一下

看了下，我是IP ssl。我理解的意思差不多就是把 crt.sectigo.com 这个域名反代一下然后去请求？我能在web配置文件里看到  crt.sectigo.com  这个域名，直接替换？？？

so 如果用户访问不了  crt.sectigo.com 这个域名 或是 我反代的域名，用户就会请求失败，是这个意思么。。。

如果是这样的话，那我宁愿直接http明文裸奔了

不是很懂，还请辛苦大佬解答下

shc

uoone 发表于 2024-12-3 13:58
看了下，我是IP ssl。我理解的意思差不多就是把 crt.sectigo.com 这个域名反代一下然后去请求？我能在web ...

诶？我还真没用过IP SSL

uoone

shc 发表于 2024-12-3 14:06
诶？我还真没用过IP SSL

其实我的问题只是 如果用户请求 crt.sectigo.com 这个域名失败了，是不是就意味着他就无法通过ssl获取远端内容了。。。

Fix

1. 对 crt.sectigo.com 的请求来自于证书 AIA 的 CA Issuer 这部分，完整的可能是（因证书类型不同可能不一样）：http://crt.sectigo.com/SectigoECCDomainValidationSecureServerCA.crt，主要作用是告诉客户端这张证书（比如你的是 ipssl 就是这个 ip）是被谁签发证书的，终端请求这个链接下载的是你 ipssl 的上级证书（就是通常说的中间证书）
2. 你可能没有把这个中间证书配置进去，也就是只有两行 ---------- 这样的，一般带上中间证书是四行 -----------，配置上了以后一定程度上可以减少对这个 crt.sectigo.com 的访问，因为服务器发送了就不用再请求了
3. 不能反代，写死在证书里的，除非你劫持掉，但这个对你的用户们会很不友好

shc

uoone 发表于 2024-12-3 14:08
其实我的问题只是 如果用户请求 crt.sectigo.com 这个域名失败了，是不是就意味着他就无法通过ssl获取远 ...

不确定…
但是普通的域名SSL是可以通过OCSP装订的方式避免直接请求CRL服务器的

uoone

Fix 发表于 2024-12-3 14:45
1. 对 crt.sectigo.com 的请求来自于证书 AIA 的 CA Issuer 这部分，完整的可能是（因证书类型不同可能不一 ...

so 如果用户访问不了  crt.sectigo.com 这个域名 用户就会请求失败，是这个意思么。。。

如果是这样的话，那我宁愿直接http明文裸奔了

老哥。能解答下么

Fix

shc 发表于 2024-12-3 14:45
不确定…
但是普通的域名SSL是可以通过OCSP装订的方式避免直接请求CRL服务器的
...

ocsp stapling 可以减少客户端对 ocsp server 的请求，这个和 crl 是两个东西

顺便问下大佬为什么前段时间博客挂了，traffic server 那篇算我的入门教程了

uoone

shc 发表于 2024-12-3 14:45
不确定…
但是普通的域名SSL是可以通过OCSP装订的方式避免直接请求CRL服务器的
...

怎么说呢 ，现在这个环境，只要是没有北岸的域名，用的海外机器，都会多多少少dns污染。。。国内总有人无法访问

所以干脆直接用IP了，砍掉dns这一部分