Grapado OCSP: validación de certificados segura y eficiente

Descubra cómo el grapado OCSP mejora SSL/TLS Validación de certificados mejorando el rendimiento, la privacidad y la confiabilidad, y descubra cómo implementarlo en su servidor.

El grapado OCSP agiliza SSL /TLS Validación de certificados, que aborda los desafíos de rendimiento, privacidad y confiabilidad de los métodos tradicionales. Al almacenar en caché el estado del certificado en el servidor y compartirlo durante el proceso TLS apretón de manosEl grapado OCSP garantiza conexiones más rápidas y seguras.

¿Qué es el OCSP?

El Protocolo de estado del certificado en línea (OCSP) es un método en tiempo real para verificar la validez de un SSL/TLS certificado. Gestionado por Autoridades de certificación (CA)OCSP permite a los navegadores confirmar si un certificado es:

  • Válido
  • Revocado
  • Desconocido

Este proceso evita que los usuarios confíen en certificados revocados, manteniendo la integridad de las comunicaciones cifradas.

Puede probar su tiempo de respuesta OCSP con:

openssl s_cliente -conectar ejemplo.com:443 -estado
openssl ocsp -editor cadena.pem -concierto cert.pem -texto \
-url http://ocsp.your-ca.com

Desafíos del OCSP tradicional

Aunque OCSP reemplazó a las voluminosas CRL, introdujo su propio conjunto de desafíos:

Problemas de desempeño

Cada consulta del navegador al respondedor OCSP de una CA agrega latencia al SSL/TLS apretón de manos, ralentizando los tiempos de carga de la página y frustrando a los usuarios.

Preocupaciones sobre la privacidad

Las consultas OCSP exponen datos de navegación del usuario a la CA, ya que el dominio que se verifica es parte de la consulta.

Debilidad por falla suave

La mayoría de los navegadores utilizan el modo de error suave, lo que significa:

  • Si un respondedor OCSP no está disponible, los navegadores continúan con la conexión, asumiendo que el certificado es válido.

Los atacantes pueden aprovechar esto bloqueando las solicitudes OCSP y eludiendo las comprobaciones de revocación.

¿Qué es el grapado OCSP?

La validación de certificados mediante el encuadernado OCSP cambia el navegador por el servidor. En lugar de que el navegador consulte a la CA, el servidor obtiene y almacena en caché la respuesta OCSP, que proporciona al navegador durante la autenticación SSL/TLS apretón de manos.

Cómo funciona el grapado OCSP

  1. Estado del certificado de solicitud del servidor: El servidor consulta periódicamente al respondedor OCSP de la CA.
  2. CA proporciona una respuesta firmada: El respondedor devuelve una respuesta OCSP firmada digitalmente y con marca de tiempo.
  3. El servidor almacena en caché la respuesta: La respuesta se almacena durante 24 a 48 horas, según el nextUpdate campo.
  4. Grapado durante el apretón de manos: El servidor incluye la respuesta OCSP almacenada en caché en el TLS protocolo de enlace, que permite al navegador validar el certificado sin consultar a la CA.

Ventajas del grapado OCSP

  • SSL más rápido/TLS Apretones de manos: Elimina la necesidad de que los navegadores consulten a la CA, lo que reduce los retrasos en la conexión.
  • Privacidad mejorada: La actividad de navegación del usuario permanece privada, ya que las consultas OCSP ya no se envían a la CA.
  • Fiabilidad mejorada: Los navegadores dependen de las respuestas OCSP proporcionadas por el servidor, lo que reduce la dependencia de la disponibilidad de la CA.
  • Uso de ancho de banda reducido: El servidor maneja las solicitudes OCSP en lotes, minimizando el tráfico de red.
  • Mejor experiencia de usuario: Los apretones de manos más rápidos y la latencia reducida mejoran la confianza y la satisfacción.

Desventajas del grapado OCSP

  • Uso de recursos del servidor: La obtención y el almacenamiento en caché de las respuestas OCSP agregan sobrecarga de procesamiento y memoria al servidor.
  • Soporte al cliente limitado: Es posible que los navegadores más antiguos o los clientes no compatibles no admitan el grapado OCSP y vuelvan a las consultas OCSP tradicionales.
  • Riesgo de ataque a la degradación sin grapas obligatorias: Los atacantes pueden evitar el grapado entregando certificados sin respuestas grapadas a menos que el certificado incluya la extensión Must-Staple.

Mejora del grapado de OCSP con Must-Staple

El Imprescindible La extensión garantiza que un certificado siempre esté acompañado de una respuesta OCSP adjunta. Si falta la respuesta, el navegador rechaza la conexión.

Beneficios de Must-Staple

  • Mitiga los ataques de degradación al imponer respuestas engrapadas.
  • Reduce el tráfico OCSP innecesario a las CA.
  • Fortalece la seguridad de los certificados de alto valor.

Para habilitar Must-Staple, Comuníquese con su CA para obtener ayuda.


Implementación del grapado OCSP

APACHE

Agregue estas directivas a su archivo de configuración SSL:

Uso de grapado SSL          on
Caché de grapado SSL        shmcb:/var/ejecutar/ocsp(128000)
Tiempo de espera del respondedor de grapado SSL 5

Reiniciar Apache:

sudo systemctl reanudar apache2

Nginx

Agregue la siguiente configuración a su bloque de servidor:

grapado ssl activado;
verificación de grapado ssl activada;
resolutor 8.8.8.8;
certificado de confianza ssl /ruta/a/cadena.pem;

Reinicie Nginx:

sudo systemctl reanudar nginx

Prueba y verificación del engrapado OCSP

Pruebas del navegador

Abra las herramientas para desarrolladores del navegador (por ejemplo, la pestaña de Seguridad de Chrome) y verifique el estado del certificado para su grapado.

Pruebas de línea de comandos

Utilice OpenSSL para comprobar la respuesta grapada:

openssl s_cliente -conectar tudominio.com:443 -estado

Confirme la Respuesta de OCSP La sección está presente en la salida.

Solución de problemas de grapado de OCSP

Sin respuesta grapada

  • Asegúrese de que su servidor pueda comunicarse con el respondedor OCSP de la CA.
  • Verifique que todos los certificados intermedios estén incluidos en la cadena de certificados.

Respuestas no válidas

  • Sincronice el reloj de su servidor con un servidor NTP para evitar problemas de marca de tiempo.

Sobrecarga de memoria

  • Optimice las configuraciones de almacenamiento en caché de OCSP para entornos de alto tráfico.


Conclusión

El grapado de OCSP resuelve los problemas de rendimiento, privacidad y confiabilidad de las comprobaciones de revocación tradicionales. Al combinarlo con Must-Staple, puede proteger aún más su sitio web contra amenazas de seguridad como ataques de degradación.

Implemente el encuadernado OCSP en su servidor hoy mismo para mejorar el rendimiento y la confianza de los usuarios. Para obtener más orientación, el equipo de soporte técnico y documentación de su autoridad de certificación puede brindarle contexto y ayuda adicionales.

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.