我们经营一个电子商务网站。上周,我们更新了SSL证书,我们的网络托管服务提供商莫名其妙地在新证书上放置了错误的网址。
因此,当我们访问该网站时-浏览器在向我们提供安全性错误(并且可能是这段时间内对所有客户而言)。
一旦SSL修复,我们就可以通过清除浏览器缓存或使用其他浏览器来访问网站。
我的问题是:浏览器会在一段时间后为我们的客户自动重置缓存吗??
我担心的是,除非客户手动清除浏览器缓存,否则他们将继续认为我们的网站不安全。
答案 0 :(得分:0)
没有用于失败尝试的SSL缓存之类的东西。如果浏览器首先使用HTTPS连接到站点,它将获取证书并对其进行验证。如果验证成功,浏览器可能会缓存当前的TLS会话以进行重新连接-但前提是服务器发送TLS会话的会话ID或会话票证。如果验证以及连接失败,则浏览器将不缓存任何内容。而且即使浏览器稍后尝试恢复TLS会话,它也完全取决于服务器是否接受该恢复-否则,将再次进行完整的握手,其中涉及获取和验证证书。
虽然您没有以这种方式描述它,但我更怀疑HTTP重定向错误,例如,从http://example.com重定向到https://wrong.example.org而不是https://www.example.com重定向。鉴于您所描述的问题,这很可能是301“永久”重定向,这意味着浏览器可以永远缓存此重定向。有关更多信息,请参见How long do browsers cache HTTP 301s?。