Я тестирую свою https-страницу через webpagespeedtest на IE8, и за один прогон я заметил кучу Запросы OSCP отправлено на oscp.godaddy.com. Я никогда не замечал подобных запросов в предыдущих запусках.
Когда браузеры решают отправлять такие запросы? Связано ли это с тем, что вчера я перевел хостинг-провайдеров?
IE полагается на CryptoAPI для выполнения любой задачи отзыва сертификата / проверки статуса, поэтому есть вероятность:
И поэтому механизм цепочки CryptoAPI решил, что ему нужна более новая информация о том, был ли один из этих сертификатов отозван недавно или нет.
Любая данная операция с сертификатом может вызвать извлечение CRL или проверку на основе OCSP; Windows будет кэшировать ответ CRL на период его действия (или ответ OCSP, как указано в его HTTP-заголовке max-age), что может объяснить, почему вы видите его время от времени, но не регулярно / часто.
Чтобы самостоятельно «пройти по цепочке» CDP, откройте сертификат и перейдите на вкладку «Путь сертификации» - это показывает иерархию центров сертификации, которые создали сертификат. Откройте каждый и посмотрите на его вкладку Details - расположение CRL. на каждом уровне это то, что клиенту необходимо проверить и кэшировать, чтобы полностью доверять сертификату (выдающий Root должен быть доверенным для вашей машины, чтобы все в цепочке работало); если OCSP включен, расширения AIA также имеют значение.
Как вариант, сохраните сертификат в файл .CER и запустите всегда веселую
CERTUTIL -verify -urlfetch mycert.cer
команда, чтобы увидеть механизм цепочки в действии.