浏览器需要多长时间才能自动重置SSL缓存？

Question

我们经营一个电子商务网站。上周，我们更新了SSL证书，我们的网站托管提供商莫名其妙地在新证书上放置了错误的web地址。

因此，当我们访问这个站点时，浏览器给我们带来了安全错误(大概是在这段时间内给任何客户)。

一旦SSL被修复，我们就可以通过清除浏览器缓存或使用不同的浏览器来访问站点。

我的问题是:经过一段时间，customers的之后，浏览器会自动重置缓存吗？

我担心的是，除非客户手动清除他们的浏览器缓存，否则他们会继续认为我们的站点不安全。

Answer 1

对于失败的尝试，不存在SSL缓存。如果浏览器首先使用HTTPS连接到站点，它将获得证书并对其进行验证。如果验证成功，浏览器可能会缓存当前的TLS会话以重新连接--但只有当服务器为TLS会话发送会话id或会话票证时。如果验证和连接失败，浏览器就不会缓存任何内容。而且，即使浏览器稍后尝试恢复TLS会话，它也取决于服务器是否完全接受此恢复--否则将再次进行完全握手，这涉及到获取和验证证书。

虽然您没有这样描述它，但我更怀疑存在一个错误的HTTP重定向，比如将http://example.com重定向到https://wrong.example.org而不是https://www.example.com。考虑到您描述的问题，这很可能是301“永久”重定向，这意味着浏览器可以永远缓存此重定向。有关此问题的更多信息，请参见How long do browsers cache HTTP 301s?。