OCSP-stifting: Sikker og effektiv sertifikatvalidering

Finn ut hvordan OCSP-stifting forbedrer SSL/TLS sertifikatvalidering ved å forbedre ytelse, personvern og pålitelighet, og oppdag hvordan du implementerer det på serveren din.

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

OCSP-stifting effektiviserer SSL /TLS sertifikatvalidering, som adresserer ytelses-, personvern- og pålitelighetsutfordringene til tradisjonelle metoder. Ved å bufre sertifikatstatus på serveren og dele den under TLS håndtrykk, OCSP-stifting sikrer raskere og sikrere tilkoblinger.

Hva er OCSP?

De Online Certificate Status Protocol (OCSP) er en sanntidsmetode for å bekrefte gyldigheten av en SSL/TLS sertifikat. Administrert av Sertifiseringsinstanser (CAer), OCSP lar nettlesere bekrefte om et sertifikat er:

  • Gyldig
  • opphevet
  • Ukjent

Denne prosessen forhindrer brukere i å stole på tilbakekalte sertifikater, og opprettholder integriteten til kryptert kommunikasjon.

Du kan teste OCSP-responstiden med:

openssl s_klient -koble example.com:443 -status
openssl OCSP -utsteder chain.pem -sert cert.pem -tekst \
-url http://ocsp.your-ca.com

Utfordringer med tradisjonell OCSP

Selv om OCSP erstattet store CRL-er, introduserte den sitt eget sett med utfordringer:

Ytelsesproblemer

Hver nettleserspørring til en CAs OCSP-responder legger til latens til SSL/TLS håndtrykk, senke sideinnlastingstider og frustrerende brukere.

Personvern Bekymringer

OCSP-spørringer eksponerer brukernes nettleserdata for CA, ettersom domenet som kontrolleres er en del av spørringen.

Soft-Fail Svakhet

De fleste nettlesere bruker soft-fail-modus, noe som betyr:

  • Hvis en OCSP-responder ikke er tilgjengelig, fortsetter nettlesere med tilkoblingen, forutsatt at sertifikatet er gyldig.

Angripere kan utnytte dette ved å blokkere OCSP-forespørsler og omgå tilbakekallingssjekker.

Hva er OCSP-stifting?

OCSP-stifting flytter sertifikatvalidering fra nettleseren til serveren. I stedet for at nettleseren spør CA, henter og hurtigbufrer serveren OCSP-svaret, som den gir til nettleseren under SSL/TLS håndtrykk.

Hvordan OCSP-stifting fungerer

  1. Server ber om sertifikatstatus: Serveren spør med jevne mellomrom CAs OCSP-responder.
  2. CA gir et signert svar: Svarpersonen returnerer et digitalt signert, tidsstemplet OCSP-svar.
  3. Server bufrer svaret: Svaret lagres i 24–48 timer, basert på nextUpdate feltet.
  4. Stifting under håndtrykk: Serveren inkluderer det bufrede OCSP-svaret i TLS håndtrykk, slik at nettleseren kan validere sertifikatet uten å spørre CA.

Fordeler med OCSP-stifting

  • Raskere SSL/TLS håndtrykk: Eliminerer behovet for nettlesere for å spørre CA, noe som reduserer tilkoblingsforsinkelser.
  • Forbedret personvern: Brukeraktiviteten forblir privat, ettersom OCSP-spørringer ikke lenger sendes til CA.
  • Forbedret pålitelighet: Nettlesere er avhengige av serverleverte OCSP-svar, noe som reduserer avhengigheten av CAs tilgjengelighet.
  • Redusert båndbreddebruk: Serveren håndterer OCSP-forespørsler i grupper, og minimerer nettverkstrafikken.
  • Bedre brukeropplevelse: Raskere håndtrykk og redusert ventetid forbedrer tillit og tilfredshet.

Ulemper med OCSP-stifting

  • Serverressursbruk: Henting og hurtigbufring av OCSP-svar legger til prosessering og minneoverhead til serveren.
  • Begrenset kundestøtte: Eldre nettlesere eller ikke-kompatible klienter støtter kanskje ikke OCSP-stifting, og går tilbake til tradisjonelle OCSP-spørringer.
  • Nedgrader angrepsrisiko uten å måtte stifte: Angripere kan omgå stifting ved å vise sertifikater uten stiftede svar, med mindre sertifikatet inkluderer Must-Staple-utvidelsen.

Forbedrer OCSP-stifting med Must-Stipping

De Må-Staple utvidelse sikrer at et sertifikat alltid er ledsaget av et stiftet OCSP-svar. Hvis svaret mangler, avviser nettleseren tilkoblingen.

Fordeler med Must-Staple

  • Reduserer nedgraderingsangrep ved å fremtvinge stiftede svar.
  • Reduserer unødvendig OCSP-trafikk til CAer.
  • Styrker sikkerheten for sertifikater med høy verdi.

For å aktivere Must-Staple, kontakt din CA for støtte.


Implementering av OCSP-stifting

Apache

Legg til disse direktivene til SSL-konfigurasjonsfilen din:

SSLUseStapling          on
SSLStaplingCache        shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5

Start Apache på nytt:

sudo systemctl restart apache2

Nginx

Legg til følgende konfigurasjon til serverblokken din:

ssl_stifting på;
ssl_stapling_verify på;
resolver 8.8.8.8;
ssl_trusted_certificate /path/to/chain.pem;

Start Nginx på nytt:

sudo systemctl restart nginx

Testing og verifisering av OCSP-stifting

Nettlesertesting

Åpne nettleserutviklerverktøy (f.eks. Chromes Sikkerhet-fane) og kontroller sertifikatstatusen for stifting.

Kommandolinjetesting

Bruk OpenSSL for å sjekke det stiftede svaret:

openssl s_klient -koble dittdomene.com:443 -status

Bekreft OCSP-svar seksjonen er til stede i utgangen.

Feilsøke OCSP-stifting

Ingen stiftet respons

  • Sørg for at serveren din kan nå CAs OCSP-responder.
  • Bekreft at alle mellomliggende sertifikater er inkludert i sertifikatkjeden.

Ugyldige svar

  • Synkroniser serverens klokke med en NTP-server for å unngå tidsstempelproblemer.

Minne overhead

  • Optimaliser OCSP-hurtigbufferkonfigurasjoner for miljøer med høy trafikk.


konklusjonen

OCSP-stifting løser ytelses-, personvern- og pålitelighetsutfordringene ved tradisjonelle tilbakekallingskontroller. Ved å pare den med Must-Staple kan du beskytte nettstedet ditt ytterligere mot sikkerhetstrusler som nedgraderingsangrep.

Implementer OCSP-stifting på serveren din i dag for å forbedre ytelsen og brukertilliten. For ytterligere veiledning kan sertifiseringsmyndighetens dokumentasjon og tekniske støtteteam gi ytterligere kontekst og hjelp.

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.