问题描述
我想知道浏览器如何使用 OCSP stapling 检查证书的有效性,以确保证书没有过期或被撤销。
我使用wireshark通过bing.com捕获tls数据包。
查看服务器 hello 数据包 Server Hello,Certificate,Certificate Status,Server Key Exchange,Server Hello Done
.
查看 certificate status
字段,我可以看到 OCSP response
,这正是我需要的。
走进BasicOCSPResponse
,它的结构(rfc6960)是:
BasicOCSPResponse ::= SEQUENCE {
tbsResponseData ResponseData,signatureAlgorithm AlgorithmIdentifier,signature BIT STRING,certs [0] EXPLICIT SEQUENCE OF Certificate OPTIONAL }
我高亮了serial number
,应该是bing证书的序列号,但是我从bing下载的证书无法匹配(见here),公钥不一样
我不知道为什么没有一个证书与之匹配,所以我不确定哪个证书是由其 CA 签署的。希望有人可以帮助我。谢谢!
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)