Запросы OSCP случайным образом появляются в результатах webpagetest.org

При тестировании производительности веб-сайта с помощью webpagetest.org некоторые тесты в конечном итоге содержат запросы, которые не должны были запрашиваться выбранным браузером.

Пример: https://www.webpagetest.org/result/170425_AH_NP7/1/details/#waterfall_view_step1

Хотя я запускаю тест с Google Chrome, второй запрос выполняется User-Agent: Microsoft-CryptoAPI/6.1 к хосту: gm.symcd.com

Повторный запуск одних и тех же тестов обычно приводит к запуску без каких-либо из этих запросов.

Это происходит на сайте www.webpagetest.org, а также при локальной установке WPT нашей компании на хосте Windows.

Пользовательский агент сначала заставил меня заподозрить в качестве источника агент Центра обновления Windows, но хост gm.symcd.com, похоже, принадлежит Symantec.

Кто-нибудь испытал такое же поведение? Что лучше всего сделать, чтобы предотвратить эти нежелательные запросы?


ssl tls1.2 cryptoapi webpagetest oscp5
person Ingo Steinke    schedule 25.04.2017    source источник

Ответы (2)


arrow_upward
1
arrow_downward

OCSP используется для проверки отзыва сертификата. Ответ можно кэшировать несколько дней.

Если вы хотите избежать запроса OCSP к ЦС, вы можете активировать "сшивание OCSP" на своем сервере: ваш сервер будет регулярно выполнять запрос к ЦС и предоставлять подписанный ответ во время установления связи с клиентом: это сэкономит время для всех ваших посетителей.

person Tom    schedule 04.05.2017

arrow_upward
0
arrow_downward

Эти, казалось бы, случайные запросы представляют собой запросы OSCP (RFC 2560: Online Certificate Status Protocol) чтобы убедиться, что сертификаты SSL все еще действительны и не были отозваны.

Поиск OSCP клиентом необходим только в том случае, если сервер не выполняет сшивание OSCP (RFC 6961: запрос состояния нескольких сертификатов). Extension), что означает, что он предоставляет подписанный авторитетный ответ OSCP вместе с цепочкой сертификатов SSL.

Итак, как указал Патрик Минан, «исправление производительности, чтобы этого не происходило, заключается в включении OCSP Stapling на веб-сервере».

Если сервер не скрепляет данные OSCP, клиент должен сделать запрос OSCP, если он уже не имеет действительного кэшированного ответа на недавний запрос OSCP. На клиенте Windows запрос OSCP будет отправлен через CryptoAPI операционной системы, если уже нет допустимого кэшированного ответа.

Чтобы обеспечить воспроизводимость результатов тестирования веб-страницы, тесты должны требовать, чтобы кеш сертификата был пустым в начале теста, что на webpagetest.org настраивается в разделе «Дополнительные настройки» -> «Дополнительно» -> «Очистить кэши SSL-сертификатов».

person Ingo Steinke    schedule 04.05.2017