OCSP-nieten stroomlijnt SSL /TLS certificaatvalidatie, waarbij de uitdagingen op het gebied van prestaties, privacy en betrouwbaarheid van traditionele methoden worden aangepakt. Door de certificaatstatus op de server te cachen en deze tijdens de TLS handdrukOCSP-stapling zorgt voor snellere en veiligere verbindingen.
Wat is OCSP?
De Online Certificaat Status Protocol (OCSP) is een realtimemethode om de geldigheid van een SSL/TLS certificaat. Beheerd door Certificeringsautoriteiten (CA's)Met OCSP kunnen browsers bevestigen of een certificaat:
- Geldig
- Ingetrokken
- Onbekend
Dit proces voorkomt dat gebruikers ingetrokken certificaten vertrouwen, waardoor de integriteit van versleutelde communicatie behouden blijft.
U kunt uw OCSP-responstijd testen met:
openssl s_client -aansluiten voorbeeld.com:443 -toestand
openssl ocsp -uitgever ketting.pem -certificaat cert.pem -tekst \
-url http://ocsp.your-ca.com
Uitdagingen met traditionele OCSP
Hoewel OCSP de omvangrijke CRL's verving, bracht het ook zijn eigen uitdagingen met zich mee:
Prestatieproblemen
Elke browserquery naar de OCSP-responder van een CA voegt latentie toe aan de SSL/TLS handshake, wat de laadtijd van pagina's vertraagt en gebruikers frustreert.
Privacybezorgdheden
OCSP-query's stellen de browsegegevens van gebruikers bloot aan de CA, omdat het gecontroleerde domein deel uitmaakt van de query.
Zwakte van Soft-Fail
De meeste browsers gebruiken de soft-fail-modus, wat betekent:
-
Als er geen OCSP-responder beschikbaar is, gaan browsers verder met de verbinding, ervan uitgaande dat het certificaat geldig is.
Aanvallers kunnen hier misbruik van maken door OCSP-verzoeken te blokkeren en zo intrekkingscontroles te omzeilen.
Wat is OCSP-nieten?
OCSP stapling verplaatst certificaatvalidatie van de browser naar de server. In plaats van dat de browser de CA bevraagt, verkrijgt en cachet de server het OCSP-antwoord, dat het aan de browser verstrekt tijdens de SSL/TLS handdruk.
Hoe OCSP-nieten werkt
- Server vraagt certificaatstatus aan: De server ondervraagt periodiek de OCSP-responder van de CA.
- CA levert een ondertekend antwoord: De responder retourneert een digitaal ondertekend, tijdstempel OCSP-antwoord.
- Server cachet het antwoord: Het antwoord wordt 24-48 uur opgeslagen, op basis van de
nextUpdate
veld. - Nieten tijdens het handen schudden: De server neemt het gecachte OCSP-antwoord op in de TLS handshake, waardoor de browser het certificaat kan valideren zonder de CA te raadplegen.
Voordelen van OCSP-nieten
- Snellere SSL/TLS handshakes: Hierdoor hoeven browsers de CA niet meer te raadplegen, waardoor verbindingsvertragingen worden verminderd.
- Verbeterde privacy: De browse-activiteit van gebruikers blijft privé, omdat OCSP-query's niet langer naar de CA worden verzonden.
- Verbeterde betrouwbaarheid: Browsers vertrouwen op door de server verstrekte OCSP-reacties, waardoor ze minder afhankelijk zijn van de beschikbaarheid van de CA.
- Verminderd bandbreedtegebruik: De server verwerkt OCSP-verzoeken in batches, waardoor het netwerkverkeer tot een minimum wordt beperkt.
- Betere gebruikerservaring: Snellere handshakes en een lagere latentie zorgen voor meer vertrouwen en tevredenheid.
Nadelen van OCSP-nieten
- Gebruik van serverbronnen: Het ophalen en cachen van OCSP-reacties brengt extra verwerkings- en geheugenoverhead voor de server met zich mee.
- Beperkte klantenondersteuning: Oudere browsers of niet-compatibele clients ondersteunen OCSP-stapling mogelijk niet en vallen terug op traditionele OCSP-query's.
- Downgrade-aanvalsrisico zonder must-staple: Aanvallers kunnen stapling omzeilen door certificaten te serveren zonder stapled responses, tenzij het certificaat de Must-Staple extensie bevat.
Verbetering van OCSP-nieten met Must-Staple
De Moet nieten extensie zorgt ervoor dat een certificaat altijd vergezeld gaat van een stapled OCSP-respons. Als de respons ontbreekt, wijst de browser de verbinding af.
Voordelen van Must-Staple
- Vermindert downgrade-aanvallen door stapled responses af te dwingen.
- Vermindert onnodig OCSP-verkeer naar CA's.
- Versterkt de beveiliging van waardevolle certificaten.
Om Must-Staple in te schakelen, Neem contact op met uw CA voor ondersteuning.
Implementatie van OCSP Stapling
apache
Voeg deze richtlijnen toe aan uw SSL-configuratiebestand:
SSLGebruikStapling on
SSLStaplingCache shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5
Start Apache opnieuw:
sudo systemctl restart apache2
Nginx
Voeg de volgende configuratie toe aan uw serverblok:
ssl_stapling aan;
ssl_stapling_verify aan;
resolver 8.8.8.8;
ssl_vertrouwd_certificaat /pad/naar/keten.pem;
Start Nginx opnieuw:
sudo systemctl restart nginx
Testen en verifiëren van OCSP-nieten
Browser testen
Open de ontwikkelaarstools van de browser (bijvoorbeeld het tabblad Beveiliging van Chrome) en controleer de certificaatstatus voor stapling.
Opdrachtregeltesten
Gebruik OpenSSL om het samengevoegde antwoord te controleren:
openssl s_client -aansluiten uwdomein.com:443 -toestand
Bevestig het OCSP-reactie sectie is aanwezig in de uitvoer.
Problemen oplossen met OCSP-nieten
Geen geniete reactie
- Zorg ervoor dat uw server de OCSP-responder van de CA kan bereiken.
- Controleer of alle tussenliggende certificaten in de certificaatketen zijn opgenomen.
Ongeldige antwoorden
-
Synchroniseer de klok van uw server met een NTP-server om problemen met tijdstempels te voorkomen.
Geheugenoverhead
-
Optimaliseer OCSP-cacheconfiguraties voor omgevingen met veel verkeer.
Conclusie
OCSP stapling lost de uitdagingen op het gebied van prestaties, privacy en betrouwbaarheid van traditionele herroepingscontroles op. Door het te combineren met Must-Staple kunt u uw website verder beschermen tegen beveiligingsbedreigingen zoals downgrade-aanvallen.
Implementeer vandaag nog OCSP stapling op uw server om de prestaties en het vertrouwen van gebruikers te verbeteren. Voor verdere begeleiding kan het documentatie- en technische ondersteuningsteam van uw certificeringsinstantie aanvullende context en hulp bieden.