OCSP-stifting effektiviserer SSL /TLS sertifikatvalidering, som adresserer ytelses-, personvern- og pålitelighetsutfordringene til tradisjonelle metoder. Ved å bufre sertifikatstatus på serveren og dele den under TLS håndtrykk, OCSP-stifting sikrer raskere og sikrere tilkoblinger.
Hva er OCSP?
De Online Certificate Status Protocol (OCSP) er en sanntidsmetode for å bekrefte gyldigheten av en SSL/TLS sertifikat. Administrert av Sertifiseringsinstanser (CAer), OCSP lar nettlesere bekrefte om et sertifikat er:
- Gyldig
- opphevet
- Ukjent
Denne prosessen forhindrer brukere i å stole på tilbakekalte sertifikater, og opprettholder integriteten til kryptert kommunikasjon.
Du kan teste OCSP-responstiden med:
openssl s_klient -koble example.com:443 -status
openssl OCSP -utsteder chain.pem -sert cert.pem -tekst \
-url http://ocsp.your-ca.com
Utfordringer med tradisjonell OCSP
Selv om OCSP erstattet store CRL-er, introduserte den sitt eget sett med utfordringer:
Ytelsesproblemer
Hver nettleserspørring til en CAs OCSP-responder legger til latens til SSL/TLS håndtrykk, senke sideinnlastingstider og frustrerende brukere.
Personvern Bekymringer
OCSP-spørringer eksponerer brukernes nettleserdata for CA, ettersom domenet som kontrolleres er en del av spørringen.
Soft-Fail Svakhet
De fleste nettlesere bruker soft-fail-modus, noe som betyr:
-
Hvis en OCSP-responder ikke er tilgjengelig, fortsetter nettlesere med tilkoblingen, forutsatt at sertifikatet er gyldig.
Angripere kan utnytte dette ved å blokkere OCSP-forespørsler og omgå tilbakekallingssjekker.
Hva er OCSP-stifting?
OCSP-stifting flytter sertifikatvalidering fra nettleseren til serveren. I stedet for at nettleseren spør CA, henter og hurtigbufrer serveren OCSP-svaret, som den gir til nettleseren under SSL/TLS håndtrykk.
Hvordan OCSP-stifting fungerer
- Server ber om sertifikatstatus: Serveren spør med jevne mellomrom CAs OCSP-responder.
- CA gir et signert svar: Svarpersonen returnerer et digitalt signert, tidsstemplet OCSP-svar.
- Server bufrer svaret: Svaret lagres i 24–48 timer, basert på
nextUpdate
feltet. - Stifting under håndtrykk: Serveren inkluderer det bufrede OCSP-svaret i TLS håndtrykk, slik at nettleseren kan validere sertifikatet uten å spørre CA.
Fordeler med OCSP-stifting
- Raskere SSL/TLS håndtrykk: Eliminerer behovet for nettlesere for å spørre CA, noe som reduserer tilkoblingsforsinkelser.
- Forbedret personvern: Brukeraktiviteten forblir privat, ettersom OCSP-spørringer ikke lenger sendes til CA.
- Forbedret pålitelighet: Nettlesere er avhengige av serverleverte OCSP-svar, noe som reduserer avhengigheten av CAs tilgjengelighet.
- Redusert båndbreddebruk: Serveren håndterer OCSP-forespørsler i grupper, og minimerer nettverkstrafikken.
- Bedre brukeropplevelse: Raskere håndtrykk og redusert ventetid forbedrer tillit og tilfredshet.
Ulemper med OCSP-stifting
- Serverressursbruk: Henting og hurtigbufring av OCSP-svar legger til prosessering og minneoverhead til serveren.
- Begrenset kundestøtte: Eldre nettlesere eller ikke-kompatible klienter støtter kanskje ikke OCSP-stifting, og går tilbake til tradisjonelle OCSP-spørringer.
- Nedgrader angrepsrisiko uten å måtte stifte: Angripere kan omgå stifting ved å vise sertifikater uten stiftede svar, med mindre sertifikatet inkluderer Must-Staple-utvidelsen.
Forbedrer OCSP-stifting med Must-Stipping
De Må-Staple utvidelse sikrer at et sertifikat alltid er ledsaget av et stiftet OCSP-svar. Hvis svaret mangler, avviser nettleseren tilkoblingen.
Fordeler med Must-Staple
- Reduserer nedgraderingsangrep ved å fremtvinge stiftede svar.
- Reduserer unødvendig OCSP-trafikk til CAer.
- Styrker sikkerheten for sertifikater med høy verdi.
For å aktivere Must-Staple, kontakt din CA for støtte.
Implementering av OCSP-stifting
Apache
Legg til disse direktivene til SSL-konfigurasjonsfilen din:
SSLUseStapling on
SSLStaplingCache shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5
Start Apache på nytt:
sudo systemctl restart apache2
Nginx
Legg til følgende konfigurasjon til serverblokken din:
ssl_stifting på;
ssl_stapling_verify på;
resolver 8.8.8.8;
ssl_trusted_certificate /path/to/chain.pem;
Start Nginx på nytt:
sudo systemctl restart nginx
Testing og verifisering av OCSP-stifting
Nettlesertesting
Åpne nettleserutviklerverktøy (f.eks. Chromes Sikkerhet-fane) og kontroller sertifikatstatusen for stifting.
Kommandolinjetesting
Bruk OpenSSL for å sjekke det stiftede svaret:
openssl s_klient -koble dittdomene.com:443 -status
Bekreft OCSP-svar seksjonen er til stede i utgangen.
Feilsøke OCSP-stifting
Ingen stiftet respons
- Sørg for at serveren din kan nå CAs OCSP-responder.
- Bekreft at alle mellomliggende sertifikater er inkludert i sertifikatkjeden.
Ugyldige svar
-
Synkroniser serverens klokke med en NTP-server for å unngå tidsstempelproblemer.
Minne overhead
-
Optimaliser OCSP-hurtigbufferkonfigurasjoner for miljøer med høy trafikk.
konklusjonen
OCSP-stifting løser ytelses-, personvern- og pålitelighetsutfordringene ved tradisjonelle tilbakekallingskontroller. Ved å pare den med Must-Staple kan du beskytte nettstedet ditt ytterligere mot sikkerhetstrusler som nedgraderingsangrep.
Implementer OCSP-stifting på serveren din i dag for å forbedre ytelsen og brukertilliten. For ytterligere veiledning kan sertifiseringsmyndighetens dokumentasjon og tekniske støtteteam gi ytterligere kontekst og hjelp.