OCSP响应服务器和恶意站点阻塞

Question

所以我一直在寻找答案，但似乎没有人问过这个问题。据我所知，当连接到一个网站时。浏览器向OCSP服务器发送一个查询，以验证其ssl/tls证书的当前有效性。它还询问一个服务，以检查该网站是否是恶意的(firefox上的“阻止报告攻击网站”)--想到的是，这难道不是一个隐私问题吗？如果我访问的每个站点都被传递给某个服务器，以检查它是否是恶意的/是否有一个有效的证书？

我知道SSL根CA是本地存储的，但是网站的证书的有效性肯定不是。

Answer 1

浏览器向OCSP服务器发送一个查询，以验证其ssl/tls证书的当前有效性。

是的，有了OCSP，OCSP就可以知道用户访问哪个站点。它无法确定哪个URL，但它可以确定浏览器试图访问的证书，从而确定哪个站点。OCSP请求不是针对同一个站点的每个HTTPS请求执行的，而是缓存响应一段时间。一些服务器定期从OCSP响应程序获取OCSP响应，并将其与证书(OCSP装订)一起发送。在这种情况下，浏览器不需要查询OCSP响应程序本身，这对于隐私和性能都是一件好事。除此之外，Chrome浏览器不再使用OCSP，而是拥有自己的已撤销证书的管理列表。并不是每个人都同意这真的是更好的方法。

它还查询服务，以检查该网站是否恶意(firefox上的“阻止报告攻击站点”)。

这个功能的初始版本()通过询问中央服务器来检查每个站点，但这是很久以前的事了。现在，定期更新本地数据库，并对此数据库进行脱机检查。只有在此脱机检查表明站点可能是恶意的情况下，它才会联机并在中央服务器上验证这一点。因此，这一特性不再是对隐私的很大侵犯。

但是，有几个防火墙/防病毒产品仍然以这种方式运行，并将未知的URL发送给防火墙供应商，然后进行另一次访问来分析潜在的恶意站点。有些供应商甚至甚至把这些配置文件卖给有兴趣的人喜欢广告商。