OCSP-hæftning: Sikker og effektiv certifikatvalidering

Lær, hvordan OCSP-hæftning forbedrer SSL/TLS certifikatvalidering ved at forbedre ydeevne, privatliv og pålidelighed, og find ud af, hvordan du implementerer det på din server.

Lignende indhold

Vil du blive ved med at lære?

Tilmeld dig SSL.com's nyhedsbrev, bliv informeret og sikker.

OCSP-hæftning strømliner SSL /TLS certifikatvalidering, der adresserer de traditionelle metoders præstations-, privatlivs- og pålidelighedsudfordringer. Ved at cache certifikatstatus på serveren og dele den under TLS håndtryk, OCSP-hæftning sikrer hurtigere og mere sikre forbindelser.

Hvad er OCSP?

Online certifikatstatusprotokol (OCSP) er en realtidsmetode til at verificere gyldigheden af ​​en SSL/TLS certifikat. Administreret af Certifikatmyndigheder (CA'er), OCSP giver browsere mulighed for at bekræfte, om et certifikat er:

  • Valid
  • tilbagekaldt
  • Ukendt

Denne proces forhindrer brugere i at stole på tilbagekaldte certifikater, og opretholder integriteten af ​​krypteret kommunikation.

Du kan teste din OCSP-svartid med:

openssl s_klient -Opret forbindelse example.com:443 -status
openssl ocsp -udsteder kæde.pem -cert cert.pem -tekst \
-url http://ocsp.your-ca.com

Udfordringer med traditionel OCSP

Selvom OCSP erstattede omfangsrige CRL'er, introducerede det sit eget sæt udfordringer:

Præstationsproblemer

Hver browserforespørgsel til en CA's OCSP-responder tilføjer latens til SSL/TLS håndtryk, langsommere sideindlæsningstider og frustrerende brugere.

Beskyttelse af personlige oplysninger

OCSP-forespørgsler eksponerer brugernes browserdata for CA, da det domæne, der kontrolleres, er en del af forespørgslen.

Soft-Fail Svaghed

De fleste browsere bruger soft-fail-tilstand, hvilket betyder:

  • Hvis en OCSP-responder ikke er tilgængelig, fortsætter browsere med forbindelsen, forudsat at certifikatet er gyldigt.

Angribere kan udnytte dette ved at blokere OCSP-anmodninger og omgå tilbagekaldelsestjek.

Hvad er OCSP-hæftning?

OCSP-hæftning flytter certifikatvalidering fra browseren til serveren. I stedet for at browseren forespørger CA'en, henter og cacher serveren OCSP-svaret, som den leverer til browseren under SSL/TLS håndtryk.

Sådan fungerer OCSP-hæftning

  1. Server anmoder om certifikatstatus: Serveren forespørger med jævne mellemrum CA's OCSP-responder.
  2. CA giver et underskrevet svar: Besvareren returnerer et digitalt signeret, tidsstemplet OCSP-svar.
  3. Server cacherer svaret: Svaret gemmes i 24-48 timer, baseret på nextUpdate felt.
  4. Hæftning under håndtryk: Serveren inkluderer det cachelagrede OCSP-svar i TLS håndtryk, så browseren kan validere certifikatet uden at forespørge CA.

Fordele ved OCSP-hæftning

  • Hurtigere SSL/TLS håndtryk: Eliminerer behovet for browsere til at forespørge CA'en, hvilket reducerer forbindelsesforsinkelser.
  • Forbedret privatliv: Brugers browsingaktivitet forbliver privat, da OCSP-forespørgsler ikke længere sendes til CA.
  • Forbedret pålidelighed: Browsere er afhængige af serverleverede OCSP-svar, hvilket reducerer afhængigheden af ​​CA's tilgængelighed.
  • Reduceret båndbreddeforbrug: Serveren håndterer OCSP-anmodninger i batches, hvilket minimerer netværkstrafikken.
  • Bedre brugeroplevelse: Hurtigere håndtryk og reduceret latenstid forbedrer tillid og tilfredshed.

Ulemper ved OCSP-hæftning

  • Brug af serverressourcer: Hentning og cachelagring af OCSP-svar tilføjer behandling og hukommelsesoverhead til serveren.
  • Begrænset kundesupport: Ældre browsere eller ikke-kompatible klienter understøtter muligvis ikke OCSP-hæftning og vender tilbage til traditionelle OCSP-forespørgsler.
  • Nedgrader angrebsrisiko uden hæftning: Angribere kan omgå hæftning ved at vise certifikater uden hæftede svar, medmindre certifikatet indeholder udvidelsen Must-Staple.

Forbedring af OCSP-hæftning med Must-Staple

Skal hæfteklammer udvidelsen sikrer, at et certifikat altid er ledsaget af et hæftet OCSP-svar. Hvis svaret mangler, afviser browseren forbindelsen.

Fordele ved Must-Staple

  • Afbøder nedgraderingsangreb ved at gennemtvinge hæftede svar.
  • Reducerer unødvendig OCSP-trafik til CA'er.
  • Styrker sikkerheden for certifikater af høj værdi.

For at aktivere Must-Staple, kontakt din CA for support.


Implementering af OCSP-hæftning

Apache

Tilføj disse direktiver til din SSL-konfigurationsfil:

SSLUseStapling          on
SSLStaplingCache        shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5

Genstart Apache:

sudo systemctl genstart apache2

Nginx

Tilføj følgende konfiguration til din serverblok:

ssl_hæftning på;
ssl_stapling_verify til;
resolver 8.8.8.8;
ssl_trusted_certificate /sti/til/kæde.pem;

Genstart Nginx:

sudo systemctl genstart Nginx

Test og verifikation af OCSP-hæftning

Browser test

Åbn browserudviklerværktøjer (f.eks. Chromes fane Sikkerhed), og kontroller certifikatstatus for hæftning.

Kommandolinjetestning

Brug OpenSSL til at kontrollere det hæftede svar:

openssl s_klient -Opret forbindelse ditdomæne.com:443 -status

Bekræft OCSP-svar sektion er til stede i outputtet.

Fejlfinding OCSP-hæftning

Intet hæftet svar

  • Sørg for, at din server kan nå CA's OCSP-responder.
  • Kontroller, at alle mellemliggende certifikater er inkluderet i certifikatkæden.

Ugyldige svar

  • Synkroniser din servers ur med en NTP-server for at undgå tidsstempelproblemer.

Hukommelse overhead

  • Optimer OCSP-cachekonfigurationer til miljøer med høj trafik.


Konklusion

OCSP-hæftning løser ydeevne-, privatlivs- og pålidelighedsudfordringerne ved traditionelle tilbagekaldelsestjek. Ved at parre det med Must-Staple kan du yderligere beskytte dit websted mod sikkerhedstrusler såsom nedgraderingsangreb.

Implementer OCSP-hæftning på din server i dag for at forbedre ydeevnen og brugertilliden. For yderligere vejledning kan din certifikatmyndigheds dokumentation og tekniske supportteam give yderligere kontekst og hjælp.

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.