关于我们决定重新发布和撤销CloudFlare客户的所有SSL证书的最后一篇博客文章的快速跟进。我们收到的一个问题是，为什么我们不在得到关于心血漏洞的消息后立即重新颁发和吊销所有SSL证书？答案是SSL证书的撤销过程远远不够完美，并且给互联网的基础设施带来了巨大的成本。今天，在进行了大规模的重新发行和撤销之后，我们对这一代价有了切实的感觉。要理解它，您需要了解浏览器如何检查SSL证书是否已被吊销。OCSP和CRL当大多数浏览器通过HTTPS访问网页时，它们使用两种证书吊销方法之一执行检查：联机证书状态协议（OCSP）或证书吊销列表（CRL）。对于OCSP，浏览器ping证书颁发机构并询问特定站点的证书是否已被吊销。对于CRL，浏览器ping证书颁发机构（CA）并下载已被该CA吊销的所有证书的完整列表。这两个系统都有优点和缺点。OCSP的带宽成本较低，但请求和后端查找的数量更高。CRL不会生成那么多的请求，但是，随着CRL的增大，可能会带来很大的带宽负担。这些费用由访问网站的人承担，他们的体验会因此而变慢，但中情局更是如此，他们需要大量的资源来处理这些请求。撤销的技术费用昨天，CloudFlare完成了重新颁发我们为客户管理的所有SSL证书的过程。完成后，我们撤销了所有以前使用的证书。您可以看到我们生成的全球CRL活动的峰值：

你看不到的是带宽的峰值。Globalsign是CloudFlare的主要CA合作伙伴，该公司的CRL从周一的约22KB增长到了约4.7MB。浏览器下载Globalsign CRL的活动在互联网上产生了大约40Gbps的新流量。如果假设全球平均带宽价格在10美元/兆比特/秒左右，仅支持传输CRL的流量就可以为Globalsign每月的带宽账单增加40万美元。为了避免您认为这是一个高估，为了使总成本更加准确，我们使用AWS的CloudFront价格计算器计算了各个地区的流量，这些数据与我们在CloudFlare上看到的流量非常接近。如果使用AWS的基础设施，Globalsign的总成本至少为952992.40美元/月。毫无疑问，他们会在公开定价的基础上再给一些折扣，但不管怎样，成本都是可观的。

除了成本之外，许多CA没有设置为能够处理这种增加的负载。撤销SSL证书可能会对其自身的基础设施造成某种拒绝服务攻击。值得庆幸的是，CloudFlare有助于推动Globalsign的OCSP和CRL基础设施。我们能够首当其冲地承担这一重担，从而使我们能够以最快的速度推进撤销。而且，不，我们没有向他们收取任何额外费用。所以，如果你想知道为什么有些人在大规模证书撤销上拖拖拉拉，现在你知道为什么了——这会带来真正的成本。如果你是一个认证机构，你想知道当你不可避免地要撤销你去年签发的所有证书时你会怎么做，我们很乐意为你提供帮助。