如果你平时开车的时候安全带都是好好的，但是撞车的时候正好断了会怎样？这样的安全带比鸡肋还要鸡肋。

　　SSL 的证书撤销检查功能就是这样的鸡肋。Google 现在宣布撤销其 chrome 浏览器执行的 SSL 此项撤销检查功能。

　　什么是 SSL 撤销检查（SSL revocation check）？

　　SSL 是许多浏览器普遍采用的保证安全传输的协议。那些以 https 打头的网址即使用 SSL 协议，浏览器访问 https 网站时都会收到一张签署的证书，这张证书可以让浏览器校验自己是否访问到应该访问的网址。证书里面会包含有指向认证中心提供的校验服务，即 CRL（证书撤销列表）或者 OCSP（在线证书状态协议），由其返回对证书的检查结果，如果结果是合法的，则浏览器就可以正常访问这些网站。

　　SSL 撤销检查软失败

　　但是，SSL 撤销检查并不能保证最终用户的安全，因为 Chrome 和其他大多数的浏览器即便在这些服务无法确认证书是否被篡改的情况下仍旧会建立网络连接。发生这种情况有可能是是软失败（soft-fail revocation check）：即撤销检查遭遇网络问题，比如说 CA 服务器暂时宕掉了；但也有可能是网站被俘获了：被俘获的网站有可能不断要求你登录某个 https 网站（如银行网站），但同时阻止你访问其他网站（如 CA 的 OCSP 服务器）。

　　SSL 对于软失败的处理策略是忽略！要命的就是这种忽略，有能力假冒受信网站的攻击者当然也会有能力屏蔽掉那些说证书不再合法的警告，替之以回应说（CA）服务器暂时宕掉了（软失败）。

　　“因此撤销检查软失败就好比是撞车的时候安全带断了，” Google 的研究人员 Langley 写道：“哪怕它 99% 的时间能正常工作也没用，因为它只在你不需要的时候工作正常。”

　　“在线撤销检查的好处难觅，代价却很明显：慢，且危害隐私”，Langley 说。因为检查平均耗时为 300 毫秒，意味着页面加载要 1 秒钟，很多网站都不愿使用 SSL。同时，这些服务还使得认证中心能够收集到用户的 IP 地址及其访问过的网站。

　　因此，现在 Google 决定以自己维护的、可自动更新的被撤销证书列表检查来替代 SSL 的撤销检查。不过，由于 Google 还需要跟 CA（认证中心）协调自动同步等问题，这项变更还需几个月的时间才能生效。

　　Via：arstechnica