失効した証明書がChrome 64.0.3282.186に表示されない
私が知る限り(ssllabs.com/ssldecoder.org)、www.sarahah.comの証明書は取り消されています。
Serial C1:18:2F:1A:91:A9:0E:03
CRL - Revoked on CRL: http://crl.godaddy.com/gdig2s1-792.crl
Revocation date: Mar 1 18:19:00 2018 GMT
OCSP - REVOKED: http://ocsp.godaddy.com/
Revocation Time: Mar 1 18:19:00 2018 GMT
Revocation Reason: cessationOfOperation
これは、Firefox 58.0.2ではSEC_ERROR_REVOKED_CERTIFICATEとして表示されます。
ただし、Chrome 64は完全に満足しているようです!何が起こっているのでしょうか?
明らかに、ホスト名は複数のIPに解決されますが、FirefoxとChromeでの動作は複数回の更新で一貫しています。
FirefoxはOCSPを使用して失効をチェックしますが、Google Chromeは CRLsets を使用します。これには、プロジェクトで重要と見なされている失効のみが含まれます-残念ながら、すべての失効した証明書は含まれません。そして、あなたが訪れたサイトは、CRLsetsに含まれるほど重要ではないようです。
この問題の詳細については、 ChromeのCRLSets(2014)の有効性の評価 、 失効チェックとChromeのCRL(2012) または SSL証明書の失効を参照してください。そしてそれが実際に壊れている方法(2018) 。