请教一个关于ssl客户端证书的问题

shc

Fix 发表于 2024-12-3 14:51
ocsp stapling 可以减少客户端对 ocsp server 的请求，这个和 crl 是两个东西

顺便问下大佬为什么前段时 ...

阿里的DNS给我Null了，不知道为啥，还没通知 正好之前太忙了，就没注意这个…

Fix

uoone 发表于 2024-12-3 14:49
so 如果用户访问不了  crt.sectigo.com 这个域名 用户就会请求失败，是这个意思么。。。

如果是这样的话 ...

非专业，个人理解是如果服务器发送了完整的证书链，客户端应该不会额外再请求这个 ca issuer，因此无法连接也没有关系

但 ocsp 最好是做 ocsp stapling，因为这个每次都要验证的

用域名我觉得比较好，可以直接用 trustasia 或者 gts 这种低价/免费且带 aia 部分针对国内网络有优化的证书

Fix

贱贱的做法是给大厂 ssl 产品提工单，转技术咨询相关细节

uoone

Fix 发表于 2024-12-3 14:59
贱贱的做法是给大厂 ssl 产品提工单，转技术咨询相关细节

OK 感谢  我是IP SSL。感觉这个还是有点影响。。。

我直接http裸奔了 至少这样sla高很多哈哈

uoone

Fix 发表于 2024-12-3 14:57
非专业，个人理解是如果服务器发送了完整的证书链，客户端应该不会额外再请求这个 ca issuer，因此无法连 ...

对的。我看日志是 第一次安装客户端 和初次启动的时候，会请求这个issuer

之后就不在请求。

然后这个域名我测了下，这玩意国内访问一言难尽。。。然后就来发帖了

Fix

uoone 发表于 2024-12-3 15:13
OK 感谢  我是IP SSL。感觉这个还是有点影响。。。

我直接http裸奔了 至少这样sla高很多哈哈 ...

isp 们：小伙子网站内容很劲爆嘛

gger

mark一下。。