Agrafage OCSP : validation sécurisée et efficace des certificats

Découvrez comment l'agrafage OCSP améliore SSL/TLS validation des certificats en améliorant les performances, la confidentialité et la fiabilité, et découvrez comment l'implémenter sur votre serveur.

L'agrafage OCSP rationalise SSL /TLS validation des certificats, répondant aux défis de performance, de confidentialité et de fiabilité des méthodes traditionnelles. En mettant en cache l'état du certificat sur le serveur et en le partageant pendant la TLS poignée de mainL'agrafage OCSP garantit des connexions plus rapides et plus sécurisées.

Qu'est-ce que l'OCSP?

Votre OCSP (Online Certificate Status Protocol) est une méthode en temps réel pour vérifier la validité d'un SSL/TLS certificat. Géré par Autorités de certification (CA)OCSP permet aux navigateurs de confirmer si un certificat est :

  • Valide
  • Révoqué
  • Inconnu

Ce processus empêche les utilisateurs de faire confiance aux certificats révoqués, préservant ainsi l’intégrité des communications cryptées.

Vous pouvez tester votre temps de réponse OCSP avec :

openssl s_client -relier exemple.com:443 -statut
openssl ocsp -émetteur chaîne.pem -certificat cert.pem -texte \
-URL http://ocsp.your-ca.com

Défis liés à l'OCSP traditionnel

Bien que OCSP ait remplacé les CRL volumineuses, il a introduit son propre lot de défis :

Les problèmes de performance

Chaque requête du navigateur adressée au répondeur OCSP d'une autorité de certification ajoute de la latence au protocole SSL/TLS poignée de main, ralentissant les temps de chargement des pages et frustrant les utilisateurs.

Problèmes de confidentialité

Les requêtes OCSP exposent les données de navigation des utilisateurs à l'autorité de certification, car le domaine vérifié fait partie de la requête.

Faiblesse du Soft-Fail

La plupart des navigateurs utilisent le mode soft-fail, ce qui signifie :

  • Si un répondeur OCSP n’est pas disponible, les navigateurs poursuivent la connexion, en supposant que le certificat est valide.

Les attaquants peuvent exploiter cela en bloquant les requêtes OCSP, en contournant les contrôles de révocation.

Qu'est-ce que l'agrafage OCSP ?

L'agrafage OCSP déplace la validation du certificat du navigateur vers le serveur. Au lieu que le navigateur interroge l'autorité de certification, le serveur obtient et met en cache la réponse OCSP, qu'il fournit au navigateur pendant l'authentification SSL/TLS poignée de main.

Comment fonctionne l'agrafage OCSP

  1. Le serveur demande le statut du certificat: Le serveur interroge périodiquement le répondeur OCSP de l'autorité de certification.
  2. L'AC fournit une réponse signée: Le répondeur renvoie une réponse OCSP signée numériquement et horodatée.
  3. Le serveur met la réponse en cache: La réponse est stockée pendant 24 à 48 heures, en fonction de la nextUpdate champ.
  4. Agrafage pendant la poignée de main: Le serveur inclut la réponse OCSP mise en cache dans le TLS poignée de main, permettant au navigateur de valider le certificat sans interroger l'autorité de certification.

Avantages de l'agrafage OCSP

  • SSL plus rapide/TLS Poignée de main: Élimine le besoin pour les navigateurs d'interroger l'autorité de certification, réduisant ainsi les délais de connexion.
  • Confidentialité améliorée: L’activité de navigation des utilisateurs reste privée, car les requêtes OCSP ne sont plus envoyées à l’autorité de certification.
  • Fiabilité améliorée: Les navigateurs s'appuient sur les réponses OCSP fournies par le serveur, réduisant ainsi la dépendance à la disponibilité de l'autorité de certification.
  • Utilisation réduite de la bande passante: Le serveur gère les requêtes OCSP par lots, minimisant ainsi le trafic réseau.
  • Meilleure expérience utilisateur: Des poignées de main plus rapides et une latence réduite améliorent la confiance et la satisfaction.

Inconvénients de l'agrafage OCSP

  • Utilisation des ressources du serveur: La récupération et la mise en cache des réponses OCSP ajoutent des frais de traitement et de mémoire au serveur.
  • Assistance client limitée: Les navigateurs plus anciens ou les clients non conformes peuvent ne pas prendre en charge l'agrafage OCSP, revenant aux requêtes OCSP traditionnelles.
  • Risque d'attaque de déclassement sans Must-Staple: Les attaquants peuvent contourner l’agrafage en diffusant des certificats sans réponses agrafées, sauf si le certificat inclut l’extension Must-Staple.

Amélioration de l'agrafage OCSP avec Must-Staple

Votre Incontournable L'extension garantit qu'un certificat est toujours accompagné d'une réponse OCSP agrafée. Si la réponse est manquante, le navigateur rejette la connexion.

Avantages de Must-Staple

  • Atténue les attaques de rétrogradation en appliquant des réponses agrafées.
  • Réduit le trafic OCSP inutile vers les autorités de certification.
  • Renforce la sécurité des certificats de grande valeur.

Pour activer Must-Staple, contactez votre CA pour obtenir de l'aide.


Mise en œuvre de l'agrafage OCSP

Apache

Ajoutez ces directives à votre fichier de configuration SSL :

SSLUtiliser l'agrafage          on
Cache d'agrafage SSL        shmcb:/var/run/ocsp(128000)
Délai d'attente du répondeur SSLStaplingResponder 5

Redémarrez Apache:

sudo systemctl recommencer apache2

Nginx

Ajoutez la configuration suivante à votre bloc serveur :

ssl_stapling activé;
ssl_stapling_verify activé;
résolveur 8.8.8.8;
certificat_de_confiance_ssl /chemin/vers/chaine.pem;

Redémarrez Nginx :

sudo systemctl recommencer nginx

Test et vérification de l'agrafage OCSP

Test du navigateur

Ouvrez les outils de développement du navigateur (par exemple, l'onglet Sécurité de Chrome) et vérifiez l'état du certificat pour l'agrafage.

Tests en ligne de commande

Utilisez OpenSSL pour vérifier la réponse agrafée :

openssl s_client -relier votredomaine.com:443 -statut

Confirmez le Réponse OCSP la section est présente dans la sortie.

Dépannage de l'agrafage OCSP

Aucune réponse agrafée

  • Assurez-vous que votre serveur peut atteindre le répondeur OCSP de l'autorité de certification.
  • Vérifiez que tous les certificats intermédiaires sont inclus dans la chaîne de certificats.

Réponses invalides

  • Synchronisez l'horloge de votre serveur avec un serveur NTP pour éviter les problèmes d'horodatage.

Surcharge de mémoire

  • Optimisez les configurations de mise en cache OCSP pour les environnements à fort trafic.


Pour aller plus loin

L'agrafage OCSP résout les problèmes de performances, de confidentialité et de fiabilité des contrôles de révocation traditionnels. En l'associant à Must-Staple, vous pouvez mieux protéger votre site Web contre les menaces de sécurité telles que les attaques de rétrogradation.

Implémentez dès aujourd'hui l'agrafage OCSP sur votre serveur pour améliorer les performances et la confiance des utilisateurs. Pour plus d'informations, l'équipe de documentation et d'assistance technique de votre autorité de certification peut vous fournir un contexte et une aide supplémentaires.

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.