OCSP-Stapling optimiert SSL /TLS Zertifikatsvalidierung, die die Leistungs-, Datenschutz- und Zuverlässigkeitsprobleme herkömmlicher Methoden behebt. Durch die Zwischenspeicherung des Zertifikatsstatus auf dem Server und die gemeinsame Nutzung während der TLS HandschlagOCSP-Stapling sorgt für schnellere und sicherere Verbindungen.
Was ist OCSP?
Die Online Certificate Status Protocol (OCSP) ist eine Echtzeitmethode zur Überprüfung der Gültigkeit eines SSL/TLS Zertifikat. Verwaltet von Zertifizierungsstellen (CAs)OCSP ermöglicht es Browsern zu bestätigen, ob ein Zertifikat:
- Gültig
- Widerrufen
- Unbekannt
Dieser Prozess verhindert, dass Benutzer widerrufenen Zertifikaten vertrauen, und gewährleistet so die Integrität der verschlüsselten Kommunikation.
Sie können Ihre OCSP-Antwortzeit mit Folgendem testen:
openssl s_client -verbinden beispiel.com:443 -Status
openssl ocsp -Aussteller kette.pem -zertifikat cert.pem -Text \
-URL http://ocsp.your-ca.com
Herausforderungen mit herkömmlichem OCSP
Obwohl OCSP umfangreiche CRLs ersetzte, brachte es auch eine Reihe neuer Herausforderungen mit sich:
Leistungsprobleme
Jede Browserabfrage an den OCSP-Responder einer CA erhöht die Latenzzeit für SSL/TLS Handshake, was die Seitenladezeiten verlangsamt und die Benutzer frustriert.
Datenschutzerklärung
OCSP-Abfragen legen der Zertifizierungsstelle die Browserdaten des Benutzers offen, da die überprüfte Domäne Teil der Abfrage ist.
Soft-Fail-Schwäche
Die meisten Browser verwenden den Soft-Fail-Modus. Dies bedeutet:
-
Wenn kein OCSP-Responder verfügbar ist, setzen die Browser die Verbindung fort und gehen davon aus, dass das Zertifikat gültig ist.
Angreifer können dies ausnutzen, indem sie OCSP-Anfragen blockieren und Widerrufsprüfungen umgehen.
Was ist OCSP-Stapling?
OCSP-Stapling verlagert die Zertifikatsvalidierung vom Browser auf den Server. Anstatt dass der Browser die Zertifizierungsstelle abfragt, erhält der Server die OCSP-Antwort und speichert sie im Cache, die er dem Browser während der SSL/TLS-Übertragung zur Verfügung stellt.TLS Handschlag.
So funktioniert OCSP-Stapling
- Server fordert Zertifikatsstatus an: Der Server fragt den OCSP-Responder der Zertifizierungsstelle regelmäßig ab.
- CA stellt eine signierte Antwort bereit: Der Antwortende gibt eine digital signierte und mit einem Zeitstempel versehene OCSP-Antwort zurück.
- Der Server speichert die Antwort im Cache: Die Antwort wird 24–48 Stunden lang gespeichert, abhängig von der
nextUpdate
Feld. - Heften während des Handshakes: Der Server fügt die zwischengespeicherte OCSP-Antwort in die TLS Handshake, der es dem Browser ermöglicht, das Zertifikat zu validieren, ohne die Zertifizierungsstelle abzufragen.
Vorteile von OCSP Stapling
- Schnelleres SSL/TLS Handshakes: Macht das Abfragen der Zertifizierungsstelle durch Browser überflüssig und reduziert so Verbindungsverzögerungen.
- Verbesserte Privatsphäre: Die Browseraktivitäten der Benutzer bleiben vertraulich, da keine OCSP-Anfragen mehr an die Zertifizierungsstelle gesendet werden.
- Verbesserte Zuverlässigkeit: Browser verlassen sich auf vom Server bereitgestellte OCSP-Antworten, wodurch die Abhängigkeit von der Verfügbarkeit der Zertifizierungsstelle verringert wird.
- Reduzierte Bandbreitennutzung: Der Server verarbeitet OCSP-Anfragen stapelweise und minimiert so den Netzwerkverkehr.
- Bessere Benutzererfahrung: Schnellere Handshakes und geringere Latenzzeiten verbessern Vertrauen und Zufriedenheit.
Nachteile von OCSP-Stapling
- Serverressourcennutzung: Das Abrufen und Zwischenspeichern von OCSP-Antworten verursacht zusätzlichen Verarbeitungs- und Speicheraufwand für den Server.
- Eingeschränkter Kundensupport: Ältere Browser oder nicht kompatible Clients unterstützen OCSP-Stapling möglicherweise nicht und greifen auf herkömmliche OCSP-Abfragen zurück.
- Reduzieren Sie das Angriffsrisiko ohne Must-Staple: Angreifer können das Heften umgehen, indem sie Zertifikate ohne geheftete Antworten bereitstellen, es sei denn, das Zertifikat enthält die Must-Staple-Erweiterung.
Verbessern des OCSP-Staplings mit Must-Staple
Die Ein Muss Die Erweiterung stellt sicher, dass ein Zertifikat immer von einer angehängten OCSP-Antwort begleitet wird. Wenn die Antwort fehlt, lehnt der Browser die Verbindung ab.
Vorteile von Must-Staple
- Mildert Downgrade-Angriffe durch die Erzwingung gehefteter Antworten.
- Reduziert unnötigen OCSP-Verkehr zu CAs.
- Stärkt die Sicherheit für hochwertige Zertifikate.
Um Must-Staple zu aktivieren, Wenden Sie sich für Support an Ihre Zertifizierungsstelle.
Implementieren von OCSP-Stapling
Apache
Fügen Sie Ihrer SSL-Konfigurationsdatei diese Anweisungen hinzu:
SSLVerwendungHeften on
SSLStaplingCache shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5
Starten Sie Apache neu:
sudo systemctl Wiederaufnahme apache2
Nginx
Fügen Sie Ihrem Serverblock die folgende Konfiguration hinzu:
ssl_stapling ein;
ssl_stapling_verify ein;
Resolver 8.8.8.8;
Vertrauenswürdiges SSL-Zertifikat /Pfad/zu/chain.pem;
Starten Sie Nginx neu:
sudo systemctl Wiederaufnahme
Testen und Überprüfen von OCSP-Stapling
Browsertests
Öffnen Sie die Entwicklertools des Browsers (z. B. die Registerkarte „Sicherheit“ von Chrome) und überprüfen Sie den Zertifikatsstatus auf Heften.
Befehlszeilentests
Verwenden Sie OpenSSL, um die geheftete Antwort zu überprüfen:
openssl s_client -verbinden Ihredomain.com:443 -Status
Bestätigen Sie die OCSP-Antwort Abschnitt ist in der Ausgabe vorhanden.
Fehlerbehebung beim OCSP-Stapling
Keine geheftete Antwort
- Stellen Sie sicher, dass Ihr Server den OCSP-Responder der Zertifizierungsstelle erreichen kann.
- Überprüfen Sie, ob alle Zwischenzertifikate in der Zertifikatskette enthalten sind.
Ungültige Antworten
-
Synchronisieren Sie die Uhr Ihres Servers mit einem NTP-Server, um Zeitstempelprobleme zu vermeiden.
Speicheraufwand
-
Optimieren Sie OCSP-Caching-Konfigurationen für Umgebungen mit hohem Datenverkehr.
Schlussfolgerung
OCSP-Stapling löst die Leistungs-, Datenschutz- und Zuverlässigkeitsprobleme herkömmlicher Widerrufsprüfungen. Durch die Kombination mit Must-Staple können Sie Ihre Website noch besser vor Sicherheitsbedrohungen wie Downgrade-Angriffen schützen.
Implementieren Sie noch heute OCSP-Stapling auf Ihrem Server, um die Leistung und das Benutzervertrauen zu verbessern. Weitere Informationen und Hilfe erhalten Sie in der Dokumentation und vom technischen Supportteam Ihrer Zertifizierungsstelle.