Запросы OSCP случайным образом появляются в результатах webpagetest.org

Question

Запросы OSCP случайным образом появляются в результатах webpagetest.org

При тестировании производительности веб-сайта с помощью webpagetest.org в конечном итоге некоторые тесты содержат запросы, которые не должны были запрашиваться выбранным браузером.

Пример: https://www.webpagetest.org/result/170425_AH_NP7/1/details/

Несмотря на то, что я запускаю тест с Google Chrome, второй запрос выполняется агентом пользователя: Microsoft-CryptoAPI/6.1 для хоста: gm.symcd.com

Повторный запуск одних и тех же тестов обычно приводит к запуску без каких-либо этих запросов.

Это происходит на www.webpagetest.org, а также на локальной установке WPT нашей компании на хосте Windows.

Агент пользователя сначала заставил меня заподозрить агента Центра обновления Windows в качестве источника, но хост gm.symcd.com, похоже, принадлежит Symantec.

Кто-нибудь испытывал такое же поведение? Что лучше всего сделать, чтобы предотвратить эти нежелательные запросы?

1

ssl tls1.2 cryptoapi webpagetest oscp5

Источник

user5069530 25 апр '17 в 10:24

2 ответа

Решение

OCSP используется для проверки отзыва сертификата. Ответ можно кэшировать через несколько дней.

Если вы хотите избежать запроса OCSP к CA, вы можете активировать "сшивание OCSP" на вашем сервере: ваш сервер будет регулярно выполнять запрос к CA и обслуживать подписанный ответ во время рукопожатия клиента: это сэкономит время для всех ваших посетители.

1

Источник

user2195875 04 май '17 в 09:45

Другие вопросы по тегам ssl tls1.2 cryptoapi webpagetest oscp5

user5069530 04 май '17 в 09:40 2017-05-04 09:40 · Accepted Answer · 2017-05-04 09:40

Эти, казалось бы, случайные запросы являются поисками OSCP ( RFC 2560: онлайн-протокол статуса сертификата), чтобы гарантировать, что сертификаты SSL все еще действительны и не были отозваны.

Поиск OSCP клиентом необходим только в том случае, если сервер выполняет сшивание OSCP ( RFC 6961: расширение запроса статуса нескольких сертификатов), что означает, что он предоставляет подписанный полномочный ответ OSCP вместе с цепочкой сертификатов SSL.

Итак, как отметил Патрик Минан, "исправление производительности, чтобы не допустить их, состоит в том, чтобы включить OCSP Stapling на веб-сервере".

Если сервер не сшивает данные OSCP, клиент должен сделать запрос OSCP, если у него уже нет действительного кэшированного ответа от недавнего запроса OSCP. На клиенте Windows запрос OSCP будет отправлен через CryptoAPI операционной системы, если уже нет действительного кэшированного ответа.

Чтобы обеспечить повторяющиеся результаты теста веб-страницы, тесты должны требовать, чтобы кеш сертификата был пустым в начале теста, который на webpagetest.org настроен в "Дополнительные параметры" -> "Дополнительно" -> "Очистить кеш сертификата SSL".