OCSP Stapling: Bezpieczna i wydajna walidacja certyfikatów

Dowiedz się, jak zszywanie OCSP wzmacnia SSL/TLS dowiedz się więcej o walidacji certyfikatu poprzez poprawę wydajności, prywatności i niezawodności oraz dowiedz się, jak wdrożyć ją na swoim serwerze.

Usprawnia zszywanie OCSP SSL /TLS walidacja certyfikatu, rozwiązująca problemy wydajności, prywatności i niezawodności tradycyjnych metod. Poprzez buforowanie statusu certyfikatu na serwerze i udostępnianie go podczas TLS uścisk rękiZszywanie protokołu OCSP zapewnia szybsze i bezpieczniejsze połączenia.

Co to jest OCSP?

Kurs Protokół statusu certyfikatu online (OCSP) jest metodą w czasie rzeczywistym służącą do weryfikacji ważności protokołu SSL/TLS certyfikat. Zarządzany przez Urzędy certyfikacji (CA)Protokół OCSP umożliwia przeglądarkom potwierdzenie, czy certyfikat jest:

  • Ważny
  • Odwołany
  • Autor nieznany

Proces ten zapobiega utracie zaufania użytkowników do unieważnionych certyfikatów, co pozwala zachować integralność szyfrowanej komunikacji.

Czas reakcji OCSP możesz sprawdzić za pomocą:

openssl s_klient -łączyć przykład.com:443 -status
openssl ocsp -emitent łańcuch.pem -certyfikat certyfikat.pem -tekst \
-adres URL http://ocsp.your-ca.com

Wyzwania związane z tradycyjnym OCSP

Mimo że protokół OCSP zastąpił obszerne listy CRL, wprowadził również własny zestaw wyzwań:

Problemy z wydajnością

Każde zapytanie przeglądarki do serwera OCSP CA powoduje opóźnienie w protokole SSL/TLS uścisk dłoni, co wydłuża czas ładowania stron i frustruje użytkowników.

Obawy dotyczące prywatności

Zapytania OCSP udostępniają urzędowi certyfikacji dane dotyczące przeglądania użytkownika, ponieważ sprawdzana domena jest częścią zapytania.

Słabość Soft-Fail

Większość przeglądarek korzysta z trybu miękkiej awarii, co oznacza:

  • Jeżeli serwer odpowiadający protokołu OCSP jest niedostępny, przeglądarki kontynuują nawiązywanie połączenia, zakładając, że certyfikat jest ważny.

Atakujący mogą wykorzystać tę lukę, blokując żądania OCSP i omijając sprawdzanie odwołań.

Czym jest zszywanie OCSP?

OCSP stapling przenosi walidację certyfikatu z przeglądarki na serwer. Zamiast, aby przeglądarka pytała CA, serwer uzyskuje i buforuje odpowiedź OCSP, którą dostarcza przeglądarce podczas SSL/TLS uścisk dłoni.

Jak działa zszywanie OCSP

  1. Serwer żąda statusu certyfikatu: Serwer okresowo wysyła zapytania do serwera OCSP urzędu certyfikacji.
  2. CA zapewnia podpisaną odpowiedź: Odbiorca zwraca podpisaną cyfrowo odpowiedź OCSP ze znacznikiem czasu.
  3. Serwer buforuje odpowiedź: Odpowiedź jest przechowywana przez okres 24–48 godzin, w zależności od nextUpdate pole.
  4. Zszywanie podczas uścisku dłoni: Serwer uwzględnia buforowaną odpowiedź OCSP w TLS uścisk dłoni, umożliwiający przeglądarce sprawdzenie certyfikatu bez wysyłania zapytania do urzędu certyfikacji.

Zalety zszywania OCSP

  • Szybszy SSL/TLS Uściski dłoni: Eliminuje potrzebę wysyłania zapytań do urzędu certyfikacji przez przeglądarki, co zmniejsza opóźnienia połączeń.
  • Zwiększona prywatność: Aktywność użytkownika w sieci pozostaje prywatna, ponieważ zapytania OCSP nie są już wysyłane do urzędu certyfikacji.
  • Poprawiona niezawodność: Przeglądarki opierają się na odpowiedziach OCSP dostarczanych przez serwer, co zmniejsza zależność od dostępności urzędu certyfikacji.
  • Zmniejszone wykorzystanie przepustowości: Serwer obsługuje żądania OCSP partiami, minimalizując ruch sieciowy.
  • Lepsze wrażenia użytkownika: Szybsze uściski dłoni i krótsze opóźnienia zwiększają zaufanie i zadowolenie.

Wady zszywania OCSP

  • Wykorzystanie zasobów serwera: Pobieranie i buforowanie odpowiedzi protokołu OCSP zwiększa zapotrzebowanie serwera na przetwarzanie i pamięć.
  • Ograniczone wsparcie klienta: Starsze przeglądarki lub niezgodni klienci mogą nie obsługiwać zszywania protokołu OCSP i powracać do tradycyjnych zapytań OCSP.
  • Zmniejsz ryzyko ataku bez konieczności stosowania podstawowych elementów: Atakujący mogą ominąć zszywanie, wyświetlając certyfikaty bez zszytych odpowiedzi, chyba że certyfikat zawiera rozszerzenie Must-Staple.

Ulepszanie zszywania OCSP za pomocą Must-Staple

Kurs Niezbędne zszywanie rozszerzenie zapewnia, że ​​certyfikat zawsze jest uzupełniony zszytą odpowiedzią OCSP. Jeśli odpowiedzi brakuje, przeglądarka odrzuca połączenie.

Korzyści z Must-Staple

  • Ogranicza ataki typu downgrade poprzez wymuszanie zszytych odpowiedzi.
  • Zmniejsza niepotrzebny ruch OCSP do urzędów certyfikacji.
  • Wzmacnia bezpieczeństwo certyfikatów o dużej wartości.

Aby włączyć Must-Staple, skontaktuj się ze swoim CA, aby uzyskać pomoc.


Wdrażanie zszywania OCSP

Apache

Dodaj te dyrektywy do pliku konfiguracji SSL:

SSLUseStapling          on
Pamięć podręczna SSLStaplingCache        shmcb:/var/run/ocsp(128000)
Przekroczenie limitu czasu odpowiedzi SSLStaplingResponder 5

Zrestartuj Apache:

sudo systemctl restart apache2

nginx

Dodaj następującą konfigurację do bloku serwera:

ssl_stapling włączone;
ssl_stapling_verify włączone;
rezolwer 8.8.8.8;
certyfikat_zaufany_ssl /ścieżka/do/łańcucha.pem;

Uruchom ponownie Nginxa:

sudo systemctl restart nginx

Testowanie i weryfikacja zszywania OCSP

Testowanie przeglądarki

Otwórz narzędzia dla programistów przeglądarki (np. kartę Bezpieczeństwo w Chrome) i sprawdź status certyfikatu dla funkcji Stapling.

Testowanie wiersza poleceń

Sprawdź odpowiedź za pomocą OpenSSL:

openssl s_klient -łączyć twojadomena.com:443 -status

Potwierdź Odpowiedź OCSP Sekcja jest obecna w wynikach.

Rozwiązywanie problemów ze zszywaniem OCSP

Brak odpowiedzi zszytej

  • Upewnij się, że Twój serwer może nawiązać połączenie z serwerem odpowiadającym OCSP urzędu certyfikacji.
  • Sprawdź, czy wszystkie certyfikaty pośrednie są uwzględnione w łańcuchu certyfikatów.

Nieprawidłowe odpowiedzi

  • Zsynchronizuj zegar swojego serwera z serwerem NTP, aby uniknąć problemów ze znacznikami czasu.

Nadwyżka pamięci

  • Optymalizacja konfiguracji buforowania OCSP w środowiskach o dużym natężeniu ruchu.


Podsumowanie

OCSP stapling rozwiązuje problemy wydajności, prywatności i niezawodności tradycyjnych kontroli unieważnień. Łącząc go z Must-Staple, możesz dodatkowo chronić swoją witrynę przed zagrożeniami bezpieczeństwa, takimi jak ataki downgrade.

Wdróż OCSP stapling na swoim serwerze już dziś, aby poprawić wydajność i zaufanie użytkowników. Aby uzyskać dalsze wskazówki, dokumentacja Twojego Urzędu Certyfikacji i zespół wsparcia technicznego mogą zapewnić dodatkowy kontekst i pomoc.

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.