OCSP-hæftning strømliner SSL /TLS certifikatvalidering, der adresserer de traditionelle metoders præstations-, privatlivs- og pålidelighedsudfordringer. Ved at cache certifikatstatus på serveren og dele den under TLS håndtryk, OCSP-hæftning sikrer hurtigere og mere sikre forbindelser.
Hvad er OCSP?
Online certifikatstatusprotokol (OCSP) er en realtidsmetode til at verificere gyldigheden af en SSL/TLS certifikat. Administreret af Certifikatmyndigheder (CA'er), OCSP giver browsere mulighed for at bekræfte, om et certifikat er:
- Valid
- tilbagekaldt
- Ukendt
Denne proces forhindrer brugere i at stole på tilbagekaldte certifikater, og opretholder integriteten af krypteret kommunikation.
Du kan teste din OCSP-svartid med:
openssl s_klient -Opret forbindelse example.com:443 -status
openssl ocsp -udsteder kæde.pem -cert cert.pem -tekst \
-url http://ocsp.your-ca.com
Udfordringer med traditionel OCSP
Selvom OCSP erstattede omfangsrige CRL'er, introducerede det sit eget sæt udfordringer:
Præstationsproblemer
Hver browserforespørgsel til en CA's OCSP-responder tilføjer latens til SSL/TLS håndtryk, langsommere sideindlæsningstider og frustrerende brugere.
Beskyttelse af personlige oplysninger
OCSP-forespørgsler eksponerer brugernes browserdata for CA, da det domæne, der kontrolleres, er en del af forespørgslen.
Soft-Fail Svaghed
De fleste browsere bruger soft-fail-tilstand, hvilket betyder:
-
Hvis en OCSP-responder ikke er tilgængelig, fortsætter browsere med forbindelsen, forudsat at certifikatet er gyldigt.
Angribere kan udnytte dette ved at blokere OCSP-anmodninger og omgå tilbagekaldelsestjek.
Hvad er OCSP-hæftning?
OCSP-hæftning flytter certifikatvalidering fra browseren til serveren. I stedet for at browseren forespørger CA'en, henter og cacher serveren OCSP-svaret, som den leverer til browseren under SSL/TLS håndtryk.
Sådan fungerer OCSP-hæftning
- Server anmoder om certifikatstatus: Serveren forespørger med jævne mellemrum CA's OCSP-responder.
- CA giver et underskrevet svar: Besvareren returnerer et digitalt signeret, tidsstemplet OCSP-svar.
- Server cacherer svaret: Svaret gemmes i 24-48 timer, baseret på
nextUpdate
felt. - Hæftning under håndtryk: Serveren inkluderer det cachelagrede OCSP-svar i TLS håndtryk, så browseren kan validere certifikatet uden at forespørge CA.
Fordele ved OCSP-hæftning
- Hurtigere SSL/TLS håndtryk: Eliminerer behovet for browsere til at forespørge CA'en, hvilket reducerer forbindelsesforsinkelser.
- Forbedret privatliv: Brugers browsingaktivitet forbliver privat, da OCSP-forespørgsler ikke længere sendes til CA.
- Forbedret pålidelighed: Browsere er afhængige af serverleverede OCSP-svar, hvilket reducerer afhængigheden af CA's tilgængelighed.
- Reduceret båndbreddeforbrug: Serveren håndterer OCSP-anmodninger i batches, hvilket minimerer netværkstrafikken.
- Bedre brugeroplevelse: Hurtigere håndtryk og reduceret latenstid forbedrer tillid og tilfredshed.
Ulemper ved OCSP-hæftning
- Brug af serverressourcer: Hentning og cachelagring af OCSP-svar tilføjer behandling og hukommelsesoverhead til serveren.
- Begrænset kundesupport: Ældre browsere eller ikke-kompatible klienter understøtter muligvis ikke OCSP-hæftning og vender tilbage til traditionelle OCSP-forespørgsler.
- Nedgrader angrebsrisiko uden hæftning: Angribere kan omgå hæftning ved at vise certifikater uden hæftede svar, medmindre certifikatet indeholder udvidelsen Must-Staple.
Forbedring af OCSP-hæftning med Must-Staple
Skal hæfteklammer udvidelsen sikrer, at et certifikat altid er ledsaget af et hæftet OCSP-svar. Hvis svaret mangler, afviser browseren forbindelsen.
Fordele ved Must-Staple
- Afbøder nedgraderingsangreb ved at gennemtvinge hæftede svar.
- Reducerer unødvendig OCSP-trafik til CA'er.
- Styrker sikkerheden for certifikater af høj værdi.
For at aktivere Must-Staple, kontakt din CA for support.
Implementering af OCSP-hæftning
Apache
Tilføj disse direktiver til din SSL-konfigurationsfil:
SSLUseStapling on
SSLStaplingCache shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5
Genstart Apache:
sudo systemctl genstart apache2
Nginx
Tilføj følgende konfiguration til din serverblok:
ssl_hæftning på;
ssl_stapling_verify til;
resolver 8.8.8.8;
ssl_trusted_certificate /sti/til/kæde.pem;
Genstart Nginx:
sudo systemctl genstart Nginx
Test og verifikation af OCSP-hæftning
Browser test
Åbn browserudviklerværktøjer (f.eks. Chromes fane Sikkerhed), og kontroller certifikatstatus for hæftning.
Kommandolinjetestning
Brug OpenSSL til at kontrollere det hæftede svar:
openssl s_klient -Opret forbindelse ditdomæne.com:443 -status
Bekræft OCSP-svar sektion er til stede i outputtet.
Fejlfinding OCSP-hæftning
Intet hæftet svar
- Sørg for, at din server kan nå CA's OCSP-responder.
- Kontroller, at alle mellemliggende certifikater er inkluderet i certifikatkæden.
Ugyldige svar
-
Synkroniser din servers ur med en NTP-server for at undgå tidsstempelproblemer.
Hukommelse overhead
-
Optimer OCSP-cachekonfigurationer til miljøer med høj trafik.
Konklusion
OCSP-hæftning løser ydeevne-, privatlivs- og pålidelighedsudfordringerne ved traditionelle tilbagekaldelsestjek. Ved at parre det med Must-Staple kan du yderligere beskytte dit websted mod sikkerhedstrusler såsom nedgraderingsangreb.
Implementer OCSP-hæftning på din server i dag for at forbedre ydeevnen og brugertilliden. For yderligere vejledning kan din certifikatmyndigheds dokumentation og tekniske supportteam give yderligere kontekst og hjælp.