인증서 검증, 기존 방식의 성능, 개인 정보 보호 및 안정성 과제 해결. 인증서 상태를 서버에 캐싱하고 공유하여 OCSP 스테이플링은 더 빠르고 안전한 연결을 보장합니다.
OCSP 란 무엇입니까?
이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 OCSP (온라인 인증서 상태 프로토콜) SSL/TLS의 유효성을 검증하는 실시간 방법입니다.TLS 인증서. 관리됨 OCSP를 통해 브라우저는 인증서가 다음인지 확인할 수 있습니다.
- 유효한
- 해지
- 알 수 없는
이 프로세스를 통해 사용자는 해지된 인증서를 신뢰하지 못하게 되어 암호화된 통신의 무결성이 유지됩니다.
다음을 사용하여 OCSP 응답 시간을 테스트할 수 있습니다.
하려면 openssl s_클라이언트 -연결하다 example.com:443 -상태
하려면 openssl ocsp -발급자 체인.pem -인증서 cert.pem -본문 \
-URL http://ocsp.your-ca.com
기존 OCSP의 문제점
OCSP는 부피가 큰 CRL을 대체했지만 고유한 일련의 과제를 가져왔습니다.
성능 문제
CA의 OCSP 응답자에 대한 각 브라우저 쿼리는 SSL/에 대기 시간을 추가합니다.TLS 핸드셰이크로 인해 페이지 로드 시간이 느려지고 사용자가 좌절감을 느낍니다.
개인 정보 보호 관련 문제
OCSP 쿼리는 검사 중인 도메인이 쿼리의 일부이므로 사용자의 검색 데이터를 CA에 노출합니다.
소프트 실패 약점
대부분의 브라우저는 소프트 실패 모드를 사용합니다. 즉, 다음과 같습니다.
-
OCSP 응답자가 없는 경우 브라우저는 인증서가 유효하다고 가정하고 연결을 계속 진행합니다.
공격자는 OCSP 요청을 차단하고 해지 확인을 우회하여 이를 악용할 수 있습니다.
OCSP 스테이플링이란 무엇입니까?
OCSP 스테이플링은 인증서 검증을 브라우저에서 서버로 옮깁니다. 브라우저가 CA에 쿼리하는 대신, 서버는 OCSP 응답을 얻어 캐시하고, SSL/TLS 악수.
OCSP 스테이플링 작동 방식
- 서버 요청 인증서 상태: 서버는 주기적으로 CA의 OCSP 응답자에게 쿼리를 보냅니다.
- CA가 서명된 응답을 제공합니다: 응답자는 디지털 서명되고 타임스탬프가 포함된 OCSP 응답을 반환합니다.
- 서버가 응답을 캐시합니다.: 응답은 다음을 기준으로 24~48시간 동안 저장됩니다.
nextUpdate입력란입니다. - 악수 중 스테이플링: 서버는 캐시된 OCSP 응답을 포함합니다. TLS 핸드셰이크를 통해 브라우저는 CA에 쿼리를 보내지 않고도 인증서를 검증할 수 있습니다.
OCSP 스테이플링의 장점
- 더 빠른 SSL/TLS 악수: 브라우저가 CA에 쿼리를 보낼 필요성을 없애서 연결 지연을 줄입니다.
- 개인 정보 보호 강화: OCSP 쿼리가 더 이상 CA로 전송되지 않으므로 사용자 검색 활동은 비공개로 유지됩니다.
- 신뢰성 향상: 브라우저는 서버에서 제공하는 OCSP 응답에 의존하므로 CA의 가용성에 대한 종속성이 줄어듭니다.
- 감소된 대역폭 사용: 서버는 OCSP 요청을 일괄적으로 처리하여 네트워크 트래픽을 최소화합니다.
- 사용자 환경 개선: 더 빠른 핸드셰이크와 줄어든 지연 시간으로 신뢰와 만족도가 향상됩니다.
OCSP 스테이플링의 단점
- 서버 리소스 사용량: OCSP 응답을 가져오고 캐싱하면 서버의 처리 및 메모리 오버헤드가 증가합니다.
- 제한된 고객 지원: 이전 브라우저나 호환되지 않는 클라이언트는 OCSP 스테이플링을 지원하지 않아 기존 OCSP 쿼리로 돌아갈 수 있습니다.
- 필수 필수품 없이 공격 위험 다운그레이드: 공격자는 인증서에 Must-Staple 확장이 포함되어 있지 않은 한, 스테이플링된 응답 없이 인증서를 제공함으로써 스테이플링을 우회할 수 있습니다.
Must-Staple을 사용하여 OCSP 스테이플링 향상
이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 필수품 확장은 인증서가 항상 스테이플링된 OCSP 응답과 함께 제공되도록 보장합니다. 응답이 없으면 브라우저가 연결을 거부합니다.
필수 필수품의 이점
- 스테이플러로 대응하여 다운그레이드 공격을 완화합니다.
- CA에 대한 불필요한 OCSP 트래픽을 줄입니다.
- 고가 인증서의 보안을 강화합니다.
Must-Staple을 활성화하려면 .
OCSP 스테이플링 구현
아파치
SSL 구성 파일에 다음 지침을 추가하세요.
SSL사용스테이플링 on
SSLStaplingCache shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5
아파치를 재시작하십시오 :
sudo는 systemctl 다시 시작 apache2
Nginx에
서버 블록에 다음 구성을 추가하세요.
ssl_stapling 켜짐;
ssl_stapling_verify 켜짐;
해결 8.8.8.8;
ssl_신뢰할 수 있는_인증서 /경로/투/체인.pem;
Nginx를 다시 시작합니다:
sudo는 systemctl 다시 시작 Nginx에
OCSP 스테이플링 테스트 및 확인
브라우저 테스트
브라우저 개발자 도구를 열고(예: Chrome의 보안 탭) 인증서 스테이플링 상태를 확인합니다.
명령줄 테스트
OpenSSL을 사용하여 스테이플링된 응답을 확인하세요.
하려면 openssl s_클라이언트 -연결하다 yourdomain.com:443 -상태
확인 OCSP 응답 섹션이 출력에 존재합니다.
OCSP 스테이플링 문제 해결
스테이플 응답 없음
- 서버가 CA의 OCSP 응답자에게 도달할 수 있는지 확인하세요.
- 모든 중간 인증서가 인증서 체인에 포함되어 있는지 확인합니다.
잘못된 응답
-
타임스탬프 문제를 방지하려면 서버의 시계를 NTP 서버와 동기화하세요.
메모리 오버헤드
-
트래픽이 많은 환경에 맞게 OCSP 캐싱 구성을 최적화합니다.
결론
OCSP 스테이플링은 기존 해지 확인의 성능, 개인 정보 보호 및 안정성 문제를 해결합니다. Must-Staple과 페어링하면 다운그레이드 공격과 같은 보안 위협으로부터 웹사이트를 더욱 보호할 수 있습니다.
