El grapado OCSP agiliza SSL /TLS Validación de certificados, que aborda los desafíos de rendimiento, privacidad y confiabilidad de los métodos tradicionales. Al almacenar en caché el estado del certificado en el servidor y compartirlo durante el proceso TLS apretón de manosEl grapado OCSP garantiza conexiones más rápidas y seguras.
¿Qué es el OCSP?
El Protocolo de estado del certificado en línea (OCSP) es un método en tiempo real para verificar la validez de un SSL/TLS certificado. Gestionado por Autoridades de certificación (CA)OCSP permite a los navegadores confirmar si un certificado es:
- Válido
- Revocado
- Desconocido
Este proceso evita que los usuarios confíen en certificados revocados, manteniendo la integridad de las comunicaciones cifradas.
Puede probar su tiempo de respuesta OCSP con:
openssl s_cliente -conectar ejemplo.com:443 -estado
openssl ocsp -editor cadena.pem -concierto cert.pem -texto \
-url http://ocsp.your-ca.com
Desafíos del OCSP tradicional
Aunque OCSP reemplazó a las voluminosas CRL, introdujo su propio conjunto de desafíos:
Problemas de desempeño
Cada consulta del navegador al respondedor OCSP de una CA agrega latencia al SSL/TLS apretón de manos, ralentizando los tiempos de carga de la página y frustrando a los usuarios.
Preocupaciones sobre la privacidad
Las consultas OCSP exponen datos de navegación del usuario a la CA, ya que el dominio que se verifica es parte de la consulta.
Debilidad por falla suave
La mayoría de los navegadores utilizan el modo de error suave, lo que significa:
-
Si un respondedor OCSP no está disponible, los navegadores continúan con la conexión, asumiendo que el certificado es válido.
Los atacantes pueden aprovechar esto bloqueando las solicitudes OCSP y eludiendo las comprobaciones de revocación.
¿Qué es el grapado OCSP?
La validación de certificados mediante el encuadernado OCSP cambia el navegador por el servidor. En lugar de que el navegador consulte a la CA, el servidor obtiene y almacena en caché la respuesta OCSP, que proporciona al navegador durante la autenticación SSL/TLS apretón de manos.
Cómo funciona el grapado OCSP
- Estado del certificado de solicitud del servidor: El servidor consulta periódicamente al respondedor OCSP de la CA.
- CA proporciona una respuesta firmada: El respondedor devuelve una respuesta OCSP firmada digitalmente y con marca de tiempo.
- El servidor almacena en caché la respuesta: La respuesta se almacena durante 24 a 48 horas, según el
nextUpdate
campo. - Grapado durante el apretón de manos: El servidor incluye la respuesta OCSP almacenada en caché en el TLS protocolo de enlace, que permite al navegador validar el certificado sin consultar a la CA.
Ventajas del grapado OCSP
- SSL más rápido/TLS Apretones de manos: Elimina la necesidad de que los navegadores consulten a la CA, lo que reduce los retrasos en la conexión.
- Privacidad mejorada: La actividad de navegación del usuario permanece privada, ya que las consultas OCSP ya no se envían a la CA.
- Fiabilidad mejorada: Los navegadores dependen de las respuestas OCSP proporcionadas por el servidor, lo que reduce la dependencia de la disponibilidad de la CA.
- Uso de ancho de banda reducido: El servidor maneja las solicitudes OCSP en lotes, minimizando el tráfico de red.
- Mejor experiencia de usuario: Los apretones de manos más rápidos y la latencia reducida mejoran la confianza y la satisfacción.
Desventajas del grapado OCSP
- Uso de recursos del servidor: La obtención y el almacenamiento en caché de las respuestas OCSP agregan sobrecarga de procesamiento y memoria al servidor.
- Soporte al cliente limitado: Es posible que los navegadores más antiguos o los clientes no compatibles no admitan el grapado OCSP y vuelvan a las consultas OCSP tradicionales.
- Riesgo de ataque a la degradación sin grapas obligatorias: Los atacantes pueden evitar el grapado entregando certificados sin respuestas grapadas a menos que el certificado incluya la extensión Must-Staple.
Mejora del grapado de OCSP con Must-Staple
El Imprescindible La extensión garantiza que un certificado siempre esté acompañado de una respuesta OCSP adjunta. Si falta la respuesta, el navegador rechaza la conexión.
Beneficios de Must-Staple
- Mitiga los ataques de degradación al imponer respuestas engrapadas.
- Reduce el tráfico OCSP innecesario a las CA.
- Fortalece la seguridad de los certificados de alto valor.
Para habilitar Must-Staple, Comuníquese con su CA para obtener ayuda.
Implementación del grapado OCSP
APACHE
Agregue estas directivas a su archivo de configuración SSL:
Uso de grapado SSL on
Caché de grapado SSL shmcb:/var/ejecutar/ocsp(128000)
Tiempo de espera del respondedor de grapado SSL 5
Reiniciar Apache:
sudo systemctl reanudar apache2
Nginx
Agregue la siguiente configuración a su bloque de servidor:
grapado ssl activado;
verificación de grapado ssl activada;
resolutor 8.8.8.8;
certificado de confianza ssl /ruta/a/cadena.pem;
Reinicie Nginx:
sudo systemctl reanudar nginx
Prueba y verificación del engrapado OCSP
Pruebas del navegador
Abra las herramientas para desarrolladores del navegador (por ejemplo, la pestaña de Seguridad de Chrome) y verifique el estado del certificado para su grapado.
Pruebas de línea de comandos
Utilice OpenSSL para comprobar la respuesta grapada:
openssl s_cliente -conectar tudominio.com:443 -estado
Confirme la Respuesta de OCSP La sección está presente en la salida.
Solución de problemas de grapado de OCSP
Sin respuesta grapada
- Asegúrese de que su servidor pueda comunicarse con el respondedor OCSP de la CA.
- Verifique que todos los certificados intermedios estén incluidos en la cadena de certificados.
Respuestas no válidas
-
Sincronice el reloj de su servidor con un servidor NTP para evitar problemas de marca de tiempo.
Sobrecarga de memoria
-
Optimice las configuraciones de almacenamiento en caché de OCSP para entornos de alto tráfico.
Conclusión
El grapado de OCSP resuelve los problemas de rendimiento, privacidad y confiabilidad de las comprobaciones de revocación tradicionales. Al combinarlo con Must-Staple, puede proteger aún más su sitio web contra amenazas de seguridad como ataques de degradación.
Implemente el encuadernado OCSP en su servidor hoy mismo para mejorar el rendimiento y la confianza de los usuarios. Para obtener más orientación, el equipo de soporte técnico y documentación de su autoridad de certificación puede brindarle contexto y ayuda adicionales.