L'agrafage OCSP rationalise SSL /TLS validation des certificats, répondant aux défis de performance, de confidentialité et de fiabilité des méthodes traditionnelles. En mettant en cache l'état du certificat sur le serveur et en le partageant pendant la TLS poignée de mainL'agrafage OCSP garantit des connexions plus rapides et plus sécurisées.
Qu'est-ce que l'OCSP?
Votre OCSP (Online Certificate Status Protocol) est une méthode en temps réel pour vérifier la validité d'un SSL/TLS certificat. Géré par Autorités de certification (CA)OCSP permet aux navigateurs de confirmer si un certificat est :
- Valide
- Révoqué
- Inconnu
Ce processus empêche les utilisateurs de faire confiance aux certificats révoqués, préservant ainsi l’intégrité des communications cryptées.
Vous pouvez tester votre temps de réponse OCSP avec :
openssl s_client -relier exemple.com:443 -statut
openssl ocsp -émetteur chaîne.pem -certificat cert.pem -texte \
-URL http://ocsp.your-ca.com
Défis liés à l'OCSP traditionnel
Bien que OCSP ait remplacé les CRL volumineuses, il a introduit son propre lot de défis :
Les problèmes de performance
Chaque requête du navigateur adressée au répondeur OCSP d'une autorité de certification ajoute de la latence au protocole SSL/TLS poignée de main, ralentissant les temps de chargement des pages et frustrant les utilisateurs.
Problèmes de confidentialité
Les requêtes OCSP exposent les données de navigation des utilisateurs à l'autorité de certification, car le domaine vérifié fait partie de la requête.
Faiblesse du Soft-Fail
La plupart des navigateurs utilisent le mode soft-fail, ce qui signifie :
-
Si un répondeur OCSP n’est pas disponible, les navigateurs poursuivent la connexion, en supposant que le certificat est valide.
Les attaquants peuvent exploiter cela en bloquant les requêtes OCSP, en contournant les contrôles de révocation.
Qu'est-ce que l'agrafage OCSP ?
L'agrafage OCSP déplace la validation du certificat du navigateur vers le serveur. Au lieu que le navigateur interroge l'autorité de certification, le serveur obtient et met en cache la réponse OCSP, qu'il fournit au navigateur pendant l'authentification SSL/TLS poignée de main.
Comment fonctionne l'agrafage OCSP
- Le serveur demande le statut du certificat: Le serveur interroge périodiquement le répondeur OCSP de l'autorité de certification.
- L'AC fournit une réponse signée: Le répondeur renvoie une réponse OCSP signée numériquement et horodatée.
- Le serveur met la réponse en cache: La réponse est stockée pendant 24 à 48 heures, en fonction de la
nextUpdate
champ. - Agrafage pendant la poignée de main: Le serveur inclut la réponse OCSP mise en cache dans le TLS poignée de main, permettant au navigateur de valider le certificat sans interroger l'autorité de certification.
Avantages de l'agrafage OCSP
- SSL plus rapide/TLS Poignée de main: Élimine le besoin pour les navigateurs d'interroger l'autorité de certification, réduisant ainsi les délais de connexion.
- Confidentialité améliorée: L’activité de navigation des utilisateurs reste privée, car les requêtes OCSP ne sont plus envoyées à l’autorité de certification.
- Fiabilité améliorée: Les navigateurs s'appuient sur les réponses OCSP fournies par le serveur, réduisant ainsi la dépendance à la disponibilité de l'autorité de certification.
- Utilisation réduite de la bande passante: Le serveur gère les requêtes OCSP par lots, minimisant ainsi le trafic réseau.
- Meilleure expérience utilisateur: Des poignées de main plus rapides et une latence réduite améliorent la confiance et la satisfaction.
Inconvénients de l'agrafage OCSP
- Utilisation des ressources du serveur: La récupération et la mise en cache des réponses OCSP ajoutent des frais de traitement et de mémoire au serveur.
- Assistance client limitée: Les navigateurs plus anciens ou les clients non conformes peuvent ne pas prendre en charge l'agrafage OCSP, revenant aux requêtes OCSP traditionnelles.
- Risque d'attaque de déclassement sans Must-Staple: Les attaquants peuvent contourner l’agrafage en diffusant des certificats sans réponses agrafées, sauf si le certificat inclut l’extension Must-Staple.
Amélioration de l'agrafage OCSP avec Must-Staple
Votre Incontournable L'extension garantit qu'un certificat est toujours accompagné d'une réponse OCSP agrafée. Si la réponse est manquante, le navigateur rejette la connexion.
Avantages de Must-Staple
- Atténue les attaques de rétrogradation en appliquant des réponses agrafées.
- Réduit le trafic OCSP inutile vers les autorités de certification.
- Renforce la sécurité des certificats de grande valeur.
Pour activer Must-Staple, contactez votre CA pour obtenir de l'aide.
Mise en œuvre de l'agrafage OCSP
Apache
Ajoutez ces directives à votre fichier de configuration SSL :
SSLUtiliser l'agrafage on
Cache d'agrafage SSL shmcb:/var/run/ocsp(128000)
Délai d'attente du répondeur SSLStaplingResponder 5
Redémarrez Apache:
sudo systemctl recommencer apache2
Nginx
Ajoutez la configuration suivante à votre bloc serveur :
ssl_stapling activé;
ssl_stapling_verify activé;
résolveur 8.8.8.8;
certificat_de_confiance_ssl /chemin/vers/chaine.pem;
Redémarrez Nginx :
sudo systemctl recommencer nginx
Test et vérification de l'agrafage OCSP
Test du navigateur
Ouvrez les outils de développement du navigateur (par exemple, l'onglet Sécurité de Chrome) et vérifiez l'état du certificat pour l'agrafage.
Tests en ligne de commande
Utilisez OpenSSL pour vérifier la réponse agrafée :
openssl s_client -relier votredomaine.com:443 -statut
Confirmez le Réponse OCSP la section est présente dans la sortie.
Dépannage de l'agrafage OCSP
Aucune réponse agrafée
- Assurez-vous que votre serveur peut atteindre le répondeur OCSP de l'autorité de certification.
- Vérifiez que tous les certificats intermédiaires sont inclus dans la chaîne de certificats.
Réponses invalides
-
Synchronisez l'horloge de votre serveur avec un serveur NTP pour éviter les problèmes d'horodatage.
Surcharge de mémoire
-
Optimisez les configurations de mise en cache OCSP pour les environnements à fort trafic.
Pour aller plus loin
L'agrafage OCSP résout les problèmes de performances, de confidentialité et de fiabilité des contrôles de révocation traditionnels. En l'associant à Must-Staple, vous pouvez mieux protéger votre site Web contre les menaces de sécurité telles que les attaques de rétrogradation.
Implémentez dès aujourd'hui l'agrafage OCSP sur votre serveur pour améliorer les performances et la confiance des utilisateurs. Pour plus d'informations, l'équipe de documentation et d'assistance technique de votre autorité de certification peut vous fournir un contexte et une aide supplémentaires.