OCSP Stapling: Veilige en efficiënte certificaatvalidatie

Ontdek hoe OCSP-stapling SSL/TLS certificaatvalidatie door de prestaties, privacy en betrouwbaarheid te verbeteren en ontdek hoe u dit op uw server kunt implementeren.

gerelateerde inhoud

Wil je blijven leren?

Abonneer u op de nieuwsbrief van SSL.com, blijf op de hoogte en veilig.

OCSP-nieten stroomlijnt SSL /TLS certificaatvalidatie, waarbij de uitdagingen op het gebied van prestaties, privacy en betrouwbaarheid van traditionele methoden worden aangepakt. Door de certificaatstatus op de server te cachen en deze tijdens de TLS handdrukOCSP-stapling zorgt voor snellere en veiligere verbindingen.

Wat is OCSP?

De Online Certificaat Status Protocol (OCSP) is een realtimemethode om de geldigheid van een SSL/TLS certificaat. Beheerd door Certificeringsautoriteiten (CA's)Met OCSP kunnen browsers bevestigen of een certificaat:

  • Geldig
  • Ingetrokken
  • Onbekend

Dit proces voorkomt dat gebruikers ingetrokken certificaten vertrouwen, waardoor de integriteit van versleutelde communicatie behouden blijft.

U kunt uw OCSP-responstijd testen met:

openssl s_client -aansluiten voorbeeld.com:443 -toestand
openssl ocsp -uitgever ketting.pem -certificaat cert.pem -tekst \
-url http://ocsp.your-ca.com

Uitdagingen met traditionele OCSP

Hoewel OCSP de omvangrijke CRL's verving, bracht het ook zijn eigen uitdagingen met zich mee:

Prestatieproblemen

Elke browserquery naar de OCSP-responder van een CA voegt latentie toe aan de SSL/TLS handshake, wat de laadtijd van pagina's vertraagt ​​en gebruikers frustreert.

Privacybezorgdheden

OCSP-query's stellen de browsegegevens van gebruikers bloot aan de CA, omdat het gecontroleerde domein deel uitmaakt van de query.

Zwakte van Soft-Fail

De meeste browsers gebruiken de soft-fail-modus, wat betekent:

  • Als er geen OCSP-responder beschikbaar is, gaan browsers verder met de verbinding, ervan uitgaande dat het certificaat geldig is.

Aanvallers kunnen hier misbruik van maken door OCSP-verzoeken te blokkeren en zo intrekkingscontroles te omzeilen.

Wat is OCSP-nieten?

OCSP stapling verplaatst certificaatvalidatie van de browser naar de server. In plaats van dat de browser de CA bevraagt, verkrijgt en cachet de server het OCSP-antwoord, dat het aan de browser verstrekt tijdens de SSL/TLS handdruk.

Hoe OCSP-nieten werkt

  1. Server vraagt ​​certificaatstatus aan: De server ondervraagt ​​periodiek de OCSP-responder van de CA.
  2. CA levert een ondertekend antwoord: De responder retourneert een digitaal ondertekend, tijdstempel OCSP-antwoord.
  3. Server cachet het antwoord: Het antwoord wordt 24-48 uur opgeslagen, op basis van de nextUpdate veld.
  4. Nieten tijdens het handen schudden: De server neemt het gecachte OCSP-antwoord op in de TLS handshake, waardoor de browser het certificaat kan valideren zonder de CA te raadplegen.

Voordelen van OCSP-nieten

  • Snellere SSL/TLS handshakes: Hierdoor hoeven browsers de CA niet meer te raadplegen, waardoor verbindingsvertragingen worden verminderd.
  • Verbeterde privacy: De browse-activiteit van gebruikers blijft privé, omdat OCSP-query's niet langer naar de CA worden verzonden.
  • Verbeterde betrouwbaarheid: Browsers vertrouwen op door de server verstrekte OCSP-reacties, waardoor ze minder afhankelijk zijn van de beschikbaarheid van de CA.
  • Verminderd bandbreedtegebruik: De server verwerkt OCSP-verzoeken in batches, waardoor het netwerkverkeer tot een minimum wordt beperkt.
  • Betere gebruikerservaring: Snellere handshakes en een lagere latentie zorgen voor meer vertrouwen en tevredenheid.

Nadelen van OCSP-nieten

  • Gebruik van serverbronnen: Het ophalen en cachen van OCSP-reacties brengt extra verwerkings- en geheugenoverhead voor de server met zich mee.
  • Beperkte klantenondersteuning: Oudere browsers of niet-compatibele clients ondersteunen OCSP-stapling mogelijk niet en vallen terug op traditionele OCSP-query's.
  • Downgrade-aanvalsrisico zonder must-staple: Aanvallers kunnen stapling omzeilen door certificaten te serveren zonder stapled responses, tenzij het certificaat de Must-Staple extensie bevat.

Verbetering van OCSP-nieten met Must-Staple

De Moet nieten extensie zorgt ervoor dat een certificaat altijd vergezeld gaat van een stapled OCSP-respons. Als de respons ontbreekt, wijst de browser de verbinding af.

Voordelen van Must-Staple

  • Vermindert downgrade-aanvallen door stapled responses af te dwingen.
  • Vermindert onnodig OCSP-verkeer naar CA's.
  • Versterkt de beveiliging van waardevolle certificaten.

Om Must-Staple in te schakelen, Neem contact op met uw CA voor ondersteuning.


Implementatie van OCSP Stapling

apache

Voeg deze richtlijnen toe aan uw SSL-configuratiebestand:

SSLGebruikStapling          on
SSLStaplingCache        shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5

Start Apache opnieuw:

sudo systemctl restart apache2

Nginx

Voeg de volgende configuratie toe aan uw serverblok:

ssl_stapling aan;
ssl_stapling_verify aan;
resolver 8.8.8.8;
ssl_vertrouwd_certificaat /pad/naar/keten.pem;

Start Nginx opnieuw:

sudo systemctl restart nginx

Testen en verifiëren van OCSP-nieten

Browser testen

Open de ontwikkelaarstools van de browser (bijvoorbeeld het tabblad Beveiliging van Chrome) en controleer de certificaatstatus voor stapling.

Opdrachtregeltesten

Gebruik OpenSSL om het samengevoegde antwoord te controleren:

openssl s_client -aansluiten uwdomein.com:443 -toestand

Bevestig het OCSP-reactie sectie is aanwezig in de uitvoer.

Problemen oplossen met OCSP-nieten

Geen geniete reactie

  • Zorg ervoor dat uw server de OCSP-responder van de CA kan bereiken.
  • Controleer of alle tussenliggende certificaten in de certificaatketen zijn opgenomen.

Ongeldige antwoorden

  • Synchroniseer de klok van uw server met een NTP-server om problemen met tijdstempels te voorkomen.

Geheugenoverhead

  • Optimaliseer OCSP-cacheconfiguraties voor omgevingen met veel verkeer.


Conclusie

OCSP stapling lost de uitdagingen op het gebied van prestaties, privacy en betrouwbaarheid van traditionele herroepingscontroles op. Door het te combineren met Must-Staple kunt u uw website verder beschermen tegen beveiligingsbedreigingen zoals downgrade-aanvallen.

Implementeer vandaag nog OCSP stapling op uw server om de prestaties en het vertrouwen van gebruikers te verbeteren. Voor verdere begeleiding kan het documentatie- en technische ondersteuningsteam van uw certificeringsinstantie aanvullende context en hulp bieden.

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.