Συρραφή OCSP: Ασφαλής και αποτελεσματική επικύρωση πιστοποιητικού

Μάθετε πώς η συρραφή OCSP βελτιώνει το SSL/TLS επικύρωση πιστοποιητικού βελτιώνοντας την απόδοση, το απόρρητο και την αξιοπιστία και ανακαλύψτε πώς να το εφαρμόσετε στον διακομιστή σας.

Εκσυγχρονισμός συρραφής OCSP SSL /TLS επικύρωση πιστοποιητικού, αντιμετωπίζοντας τις προκλήσεις απόδοσης, απορρήτου και αξιοπιστίας των παραδοσιακών μεθόδων. Αποθηκεύοντας προσωρινά την κατάσταση πιστοποιητικού στον διακομιστή και κοινοποιώντας το κατά τη διάρκεια του TLS χειραψία, Η συρραφή OCSP εξασφαλίζει ταχύτερες και ασφαλέστερες συνδέσεις.

Τι είναι το OCSP;

Τα Διαχωριστικά Πρωτόκολλο κατάστασης πιστοποιητικού στο Διαδίκτυο (OCSP) είναι μια μέθοδος σε πραγματικό χρόνο για την επαλήθευση της εγκυρότητας ενός SSL/TLS πιστοποιητικό. Διαχειρίζεται από Αρχές έκδοσης πιστοποιητικών (CA), Το OCSP επιτρέπει στα προγράμματα περιήγησης να επιβεβαιώνουν εάν ένα πιστοποιητικό είναι:

  • Ισχύει
  • Ανακλήθηκε
  • Άγνωστο

Αυτή η διαδικασία εμποδίζει τους χρήστες να εμπιστεύονται τα ανακληθέντα πιστοποιητικά, διατηρώντας την ακεραιότητα των κρυπτογραφημένων επικοινωνιών.

Μπορείτε να δοκιμάσετε τον χρόνο απόκρισης OCSP με:

OpenSSL s_client -συνδέω example.com:443 -κατάσταση
OpenSSL ocsp -εκδότης αλυσίδα.πεμ -πιστοποιητικό βεβαίωση.pem -κείμενο \
-url http://ocsp.your-ca.com

Προκλήσεις με το παραδοσιακό OCSP

Αν και το OCSP αντικατέστησε τα ογκώδη CRL, εισήγαγε το δικό του σύνολο προκλήσεων:

Ζητήματα επιδόσεων

Κάθε ερώτημα του προγράμματος περιήγησης στην απάντηση OCSP μιας CA προσθέτει καθυστέρηση στο SSL/TLS χειραψία, επιβράδυνση του χρόνου φόρτωσης σελίδας και απογοήτευση των χρηστών.

Προβληματισμοί για την προστασία της ιδιωτικής ζωής

Τα ερωτήματα OCSP εκθέτουν δεδομένα περιήγησης χρήστη στην ΑΠ, καθώς ο τομέας που ελέγχεται αποτελεί μέρος του ερωτήματος.

Αδυναμία Soft-Fail

Τα περισσότερα προγράμματα περιήγησης χρησιμοποιούν τη λειτουργία soft-fail, που σημαίνει:

  • Εάν δεν είναι διαθέσιμος ένας αποκριτής OCSP, τα προγράμματα περιήγησης συνεχίζουν τη σύνδεση, υποθέτοντας ότι το πιστοποιητικό είναι έγκυρο.

Οι εισβολείς μπορούν να το εκμεταλλευτούν αποκλείοντας αιτήματα OCSP, παρακάμπτοντας τους ελέγχους ανάκλησης.

Τι είναι η συρραφή OCSP;

Η συρραφή OCSP μετατοπίζει την επικύρωση πιστοποιητικού από το πρόγραμμα περιήγησης στον διακομιστή. Αντί το πρόγραμμα περιήγησης να υποβάλει ερώτημα στην ΑΠ, ο διακομιστής λαμβάνει και αποθηκεύει προσωρινά την απόκριση OCSP, την οποία παρέχει στο πρόγραμμα περιήγησης κατά τη διάρκεια του SSL/TLS χειραψία.

Πώς λειτουργεί η συρραφή OCSP

  1. Κατάσταση πιστοποιητικού αιτημάτων διακομιστή: Ο διακομιστής υποβάλλει περιοδικά ερωτήματα στον ανταποκριτή OCSP της CA.
  2. Η ΑΠ παρέχει μια υπογεγραμμένη απάντηση: Ο ανταποκριτής επιστρέφει μια ψηφιακά υπογεγραμμένη απόκριση OCSP με χρονική σήμανση.
  3. Ο διακομιστής αποθηκεύει προσωρινά την απόκριση: Η απόκριση αποθηκεύεται για 24–48 ώρες, με βάση την nextUpdate τομέα.
  4. Συρραφή κατά τη χειραψία: Ο διακομιστής περιλαμβάνει την αποθηκευμένη απόκριση OCSP στο TLS χειραψία, επιτρέποντας στο πρόγραμμα περιήγησης να επικυρώσει το πιστοποιητικό χωρίς να ρωτήσει την ΑΠ.

Πλεονεκτήματα της συρραφής OCSP

  • Ταχύτερο SSL/TLS Χειραψίες: Εξαλείφει την ανάγκη για τα προγράμματα περιήγησης να υποβάλουν ερωτήματα στην ΑΠ, μειώνοντας τις καθυστερήσεις σύνδεσης.
  • Βελτιωμένο απόρρητο: Η δραστηριότητα περιήγησης χρήστη παραμένει ιδιωτική, καθώς τα ερωτήματα OCSP δεν αποστέλλονται πλέον στην ΑΠ.
  • Βελτιωμένη αξιοπιστία: Τα προγράμματα περιήγησης βασίζονται σε αποκρίσεις OCSP που παρέχονται από τον διακομιστή, μειώνοντας την εξάρτηση από τη διαθεσιμότητα της CA.
  • Μειωμένη χρήση εύρους ζώνης: Ο διακομιστής χειρίζεται αιτήματα OCSP σε παρτίδες, ελαχιστοποιώντας την κίνηση του δικτύου.
  • Καλύτερη εμπειρία χρήστη: Οι ταχύτερες χειραψίες και η μειωμένη καθυστέρηση βελτιώνουν την εμπιστοσύνη και την ικανοποίηση.

Μειονεκτήματα της συρραφής OCSP

  • Χρήση πόρων διακομιστή: Η ανάκτηση και η προσωρινή αποθήκευση αποκρίσεων OCSP προσθέτει επιβάρυνση επεξεργασίας και μνήμης στον διακομιστή.
  • Περιορισμένη υποστήριξη πελατών: Τα παλαιότερα προγράμματα περιήγησης ή οι μη συμμορφωμένοι πελάτες ενδέχεται να μην υποστηρίζουν συρραφή OCSP, επιστρέφοντας στα παραδοσιακά ερωτήματα OCSP.
  • Υποβάθμιση του κινδύνου επίθεσης χωρίς να πρέπει να συρραφεί: Οι εισβολείς μπορούν να παρακάμψουν τη συρραφή με την προβολή πιστοποιητικών χωρίς συρραπτικές αποκρίσεις, εκτός εάν το πιστοποιητικό περιλαμβάνει την επέκταση Must-Staple.

Βελτίωση της συρραφής OCSP με το Must-Staple

Τα Διαχωριστικά Πρέπει να συρραφή Η επέκταση διασφαλίζει ότι ένα πιστοποιητικό συνοδεύεται πάντα από μια συρραμένη απόκριση OCSP. Εάν η απάντηση λείπει, το πρόγραμμα περιήγησης απορρίπτει τη σύνδεση.

Οφέλη του Must-Staple

  • Μετριάζει τις επιθέσεις υποβάθμισης επιβάλλοντας συρραπτικές απαντήσεις.
  • Μειώνει την περιττή επισκεψιμότητα OCSP στις CA.
  • Ενισχύει την ασφάλεια για πιστοποιητικά υψηλής αξίας.

Για να ενεργοποιήσετε το Must-Staple, επικοινωνήστε με την CA σας για υποστήριξη.


Εφαρμογή συρραφής OCSP

Apache

Προσθέστε αυτές τις οδηγίες στο αρχείο διαμόρφωσης SSL:

SSLUseStapling          on
SSLStaplingCache        shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5

Επανεκκινήστε το Apache:

sudo systemctl επανεκκίνηση apache2

nginx

Προσθέστε την ακόλουθη διαμόρφωση στο μπλοκ διακομιστή σας:

ssl_stapling ενεργοποιημένο;
ssl_stapling_verify ενεργό;
διαλύων 8.8.8.8?
ssl_trusted_certificate /path/to/chain.pem;

Επανεκκινήστε το Nginx:

sudo systemctl επανεκκίνηση nginx

Δοκιμή και επαλήθευση συρραφής OCSP

Δοκιμή προγράμματος περιήγησης

Ανοίξτε τα εργαλεία προγραμματιστή του προγράμματος περιήγησης (π.χ. την καρτέλα Ασφάλεια του Chrome) και ελέγξτε την κατάσταση του πιστοποιητικού για συρραφή.

Δοκιμή γραμμής εντολών

Χρησιμοποιήστε το OpenSSL για να ελέγξετε την απόκριση με συρραφή:

OpenSSL s_client -συνδέω yourdomain.com:443 -κατάσταση

Επιβεβαιώστε το Απόκριση OCSP το τμήμα υπάρχει στην έξοδο.

Αντιμετώπιση προβλημάτων Συρραφή OCSP

Χωρίς συρραπτική απόκριση

  • Βεβαιωθείτε ότι ο διακομιστής σας μπορεί να φτάσει στον αποκριτή OCSP της CA.
  • Βεβαιωθείτε ότι όλα τα ενδιάμεσα πιστοποιητικά περιλαμβάνονται στην αλυσίδα πιστοποιητικών.

Μη έγκυρες απαντήσεις

  • Συγχρονίστε το ρολόι του διακομιστή σας με έναν διακομιστή NTP για να αποφύγετε προβλήματα χρονικής σήμανσης.

Επιβάρυνση μνήμης

  • Βελτιστοποιήστε τις διαμορφώσεις προσωρινής αποθήκευσης OCSP για περιβάλλοντα υψηλής επισκεψιμότητας.


Συμπέρασμα

Η συρραφή OCSP επιλύει τις προκλήσεις απόδοσης, απορρήτου και αξιοπιστίας των παραδοσιακών ελέγχων ανάκλησης. Συνδυάζοντάς το με το Must-Staple, μπορείτε να προστατεύσετε περαιτέρω τον ιστότοπό σας από απειλές ασφαλείας, όπως επιθέσεις υποβάθμισης.

Εφαρμόστε σήμερα τη συρραφή OCSP στον διακομιστή σας για να βελτιώσετε την απόδοση και την εμπιστοσύνη των χρηστών. Για περαιτέρω καθοδήγηση, η ομάδα τεκμηρίωσης και τεχνικής υποστήριξης της Αρχής έκδοσης πιστοποιητικών μπορεί να παρέχει πρόσθετο πλαίσιο και βοήθεια.

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.