Reqwest库中SSL证书吊销检查的注意事项

在使用Rust语言的reqwest库进行HTTPS请求时，开发人员需要注意一个重要的安全细节：默认情况下，reqwest不会自动验证SSL证书是否已被吊销。这是一个容易被忽视但至关重要的安全特性。

问题背景

当访问使用已吊销SSL证书的网站时，如revoked.badssl.com，理想情况下客户端应该拒绝建立连接。然而，使用reqwest库的默认配置发送请求到这类网站时，请求会成功完成而不会报错。这与大多数开发者对SSL验证的预期行为不符。

技术分析

reqwest底层依赖的是Rustls或native-tls等TLS实现。虽然这些库会验证证书的有效期（因此会拒绝expired.badssl.com），但默认不包含证书吊销列表(CRL)或在线证书状态协议(OCSP)检查。这种设计选择可能是出于性能和复杂性的权衡考虑。

解决方案

从reqwest 0.12版本开始，开发者可以通过ClientBuilder的add_crl方法显式配置证书吊销列表检查。这种方法需要开发者主动提供CRL文件，增加了安全性但同时也带来了额外的配置负担。

安全建议

1. 对于安全性要求较高的应用，建议启用CRL检查
2. 考虑实现自定义的证书验证逻辑
3. 定期检查依赖库的安全更新
4. 在测试环境中验证对各种异常证书（包括已吊销证书）的处理

最佳实践

开发人员应当意识到，HTTPS的安全性不仅仅依赖于协议本身，还需要正确的配置和使用方式。reqwest提供的灵活性允许开发者根据具体需求平衡安全性和便利性，但同时也要求开发者对安全配置有充分的理解。

在构建安全敏感的应用程序时，建议进行全面的安全审计，包括对TLS配置的详细检查，以确保符合组织的安全策略和行业最佳实践。