改版後托 Miniblog.Core 的福,部落格內建潮到出水的 PWA (Progressive Web App)支援,最近遇上 SSL 憑證更新,再學到 PWA / Service Worker 經驗一枚。

如下圖所示:

thumbnail

有個矛盾狀況:Chrome 顯示 SSL 憑證有效,但檢視內容憑證已於 12/15 過期。網站憑證使用 Certbot,事實上已更新,而改用 IE/Firefox 或是另開 Chrome 無痕視窗,看到的便是 12/11 申請的新憑證。由此推測,問題與 PWA/Service Worker 的離線快取有關。

爬文由 Stackoverflow 討論找到一則 Chrome 論壇討論,看出大概輪廓 :

  1. Chrome 會將 SSL 憑證與內容一起快取起來,遇到需要重新連網載入時再一併更新。
  2. 當透過 Cache API 或 Service Worker(PWA 背後即是使用 Service Worker)取用快取內容,將直接使用快取裡記下的 SSL 憑證,不需連網驗證。
  3. Chrome 不會重新驗證快取裡的過期憑證,以免破壞「離線操作」前題,但也不會將其註明為失效或顯示錯誤。

因此,遇到網站 SSL 憑證更新,若使用者先前瀏覽過 PWA 網站,Chrome 將會顯示快取中的舊憑證(即使它已過期);若是新到訪使用者,自然會取得更新後的憑證;若為己拜訪過網站的舊使用者,但因故需要連網驗證磁碟上的快取資源,也會取得新憑證。結論是 Chrome 會在更新 Cache 內容時,一併更新憑證,不勞我們費心。

換言之,快取憑證過期並不影響使用,不會出現明顯安全警示,一般使用者也不致發現,當 Chrome 判定有需要自然會更新,照理是可以放著不理的。不過,這就像手機螢幕上的微小刮痕,即使對實際使用沒半點影響,但心理就是有疙瘩,所以我還是上網找到強迫清除快取的方法:

輸入chrome://settings/siteData,找到 blog.darkthread.net,按下垃圾桶清除所有快取資料(註:建議關閉所有 Chrome 視窗重開),搞定收工。

Research of Chrome's SSL certificate caching behavior under the behavior and how to forcely refresh it.


Comments

Be the first to post a comment

Post a comment


92 - 87 =