为了获得关于我们在OCSP封套方面怎么做的一些反馈，可以启用一项名为OCSP Expect-Staple的功能。之前这方面我写过一篇文章，可以在博客OCSP Expect-Staple（https://scotthelme.co.uk/ocsp-expect-staple/）中了解所有细节，不过这里将给出简短版本。你可以请求添加HSTS preload列表：如果对OCSP封套不满意，让浏览器向你发送报告。可以自行收集报告，或使用我的服务report-uri.io替你收集。如果你启用了OCSP Must-Staple，就能了解遇到问题的频次到底如何。

由于添加HSTS preload列表不如我希望的那么简单，我还写了一个规范，定义一个新的名为“Expect-Staple”的安全报头，以提供同样的功能，但减少了工作量。现在你可以在启用Must-Staple之前，设置该报头，并启用报告机制、以获得我们迫切需要的反馈。启用报头很简单，就像启用其他所有安全报头那样：

1 Expect-Staple: max-age=31536000; report-uri="https://scotthelme.report-uri.io/r/d/staple"; includeSubDomains; preload

未授权证书

我们在探讨吊销话题时要考虑的另一个方面是未授权证书（rogue certificate）。要是有人设法危及CA或以其他方式获得不该拥有的证书，我们该如何知道这个情况？

如果我现在攻入了CA，获得了你网站的证书，又没有告诉你，除非此事被广泛报道，否则你蒙在鼓里。你可能甚至面临内部威胁，贵企业中某个人可能不用走适当的内部渠道就能获得证书，可以随意处理证书。我们需要有办法确保透明度达到100%，我们很快会如愿以偿，这归功于名为Certificate Transparency的开放框架。

Certificate Transparency

Certificate Transparency是一个新的要求，明年初起将是强制性要求，将要求所有证书都记录在公共日志中，如果浏览器要信任它们的话。你可以阅读该文，了解Certificate Transparency的更多详细信息，但通常发生的情况是，CA会将它颁发的所有证书记录在Certificate Transparency日志中。

Certificate Transparency日志

这种日志是完全公开的，任何人都能搜索它们，所以其想法是，如果证书是颁发给你网站的，你会了解相关情况。比如在这里（https://crt.sh/?q=scotthelme.co.uk），你可以看到为我域颁发的所有证书，您还可以搜索自己的证书。还可以使用SSLMate的CertSpotter来搜索证书。此外，我使用Facebook Certificate Transparency Monitoring工具，每当为你域分发了新的证书，该工具会发电子邮件通知你。

Certificate Transparency是个很棒的想法，我迫不及待地希望它成为强制性要求，但它只是第一步。了解这些证书虽好，但吊销证书方面仍存在所有上述问题。话虽如此，我们每次只能解决一个问题；如果我们不知道需要吊销的证书，世界上再好的吊销机制也无济于事。Certificate Transparency至少在这方面给了我们许多。

Certificate Authority Authorization

阻止证书颁发比试图吊销证书要容易得多，这正是Certificate Authority Authorization（证书管理机构授权）让我们开始做的事情。简单来说，我们现在可以授权只有特定的CA为我们颁发证书，而不像现在我们根本无法表明任何偏好。就像创建DNS记录一样简单：

1 scotthelme.co.uk. IN CAA 0 issue "letsencrypt.org"

虽然CAA不是一种特别强大的机制，它在误颁发的情况下无助于事，但是在一些情况下它能帮助我们，我们可以通过创建CAA记录来表明我们的偏好。

结束语

目前有个真正的问题：如果有人获得了我们的私钥，我们无法吊销证书。想象一下，要是下一个Heartbleed出现，那会是怎样的场面？为了限制破坏所造成的影响，你能做的事情之一是，缩短你获得的证书的有效期。改用一年或更短，而不是三年。Let's Encrypt只颁发有效期只有短短90天的证书！如果证书的生命周期缩短，即使你中了招，问题也不大，因为攻击者在证书过期之前滥用证书的时间较短。除此之外，我们几乎无计可施。

为了表明这个问题及其严重性，可以访问我在本人网站上创建的新子域：revoked.scotthelme.co.uk。你可能猜到了，这个子域名使用已吊销的证书，它很可能会顺利加载。要是没有，你又确实收到了关于证书已过期的警告，那么你的浏览器仍在执行OCSP检查，你只要告诉CA要访问我的网站。