有哪些工具可以帮助我监视OCSP证书验证失败？

Question

为什么在浏览器中默认不需要OCSP？上的讨论指出，许多浏览器默认忽略通过在线证书状态协议 (OCSP)检查网站TLS证书吊销状态的失败。

对于关心OCSP请求的用户，或者只是好奇的用户，是否有一种简单的方法(例如工具)来监视OCSP请求，并在连接失败时检测或记录？浏览器扩展会很方便。

我对所有流行的平台和浏览器都很好奇。

Update:查看更多内容，可以找到对基本OCSP流的解释，以及如何使用openssl：基于OpenSSL的OCSP验证一步一步地完成它。

回到HTTP成为一把残忍的瑞士军刀之前的美好时光，我只需要捕获"OCSP端口“的所有数据包。但是no是在HTTP之上分层的，所以我需要的不仅仅是一个简单的基于pcap的工具:我需要找出与OCSP相关的HTTP URL，并解析更冗长的对话.

Answer 1

我最近的大部分经验都是使用卷叶草桌面气浮机 (现在是Axway?)- -它可以插入浏览器，也可以独立使用一系列配置选项。它检查OCSP，并在发生了什么不好的事情时弹出警告。我认为您也可以将其配置为拒绝访问。

这不是唯一的产品，只是我最近最努力工作过的产品。许多OCSP服务器制造商都有客户端服务，因为这仅仅是方程的另一半。恐怕我不知道有免费的。

Answer 2

我刚才想出的一些东西:它需要一些微调，但这可以用于快速测试(警告，输出不是很漂亮！)

sudo tshark -i eth1 -f "tcp port http" -R "ocsp.responses || ocsp.Request" -V -T text 

这样做是为了监视http数据包的eth1 (我的互联网接口)，获取它们，过滤那些具有内容类型ocsp响应或ocsp请求的包，并打印解码的数据包，这样人们就可以看到正在发生的事情。

它需要微调，因为它显示有关ip和tcp报头字段的信息，并且尽可能详细地详细说明所有ocsp响应字段。

同样的滤波器也可以应用于wireshark，以获得更漂亮的输出。