Usprawnia zszywanie OCSP SSL /TLS walidacja certyfikatu, rozwiązująca problemy wydajności, prywatności i niezawodności tradycyjnych metod. Poprzez buforowanie statusu certyfikatu na serwerze i udostępnianie go podczas TLS uścisk rękiZszywanie protokołu OCSP zapewnia szybsze i bezpieczniejsze połączenia.
Co to jest OCSP?
Kurs Protokół statusu certyfikatu online (OCSP) jest metodą w czasie rzeczywistym służącą do weryfikacji ważności protokołu SSL/TLS certyfikat. Zarządzany przez Urzędy certyfikacji (CA)Protokół OCSP umożliwia przeglądarkom potwierdzenie, czy certyfikat jest:
- Ważny
- Odwołany
- Autor nieznany
Proces ten zapobiega utracie zaufania użytkowników do unieważnionych certyfikatów, co pozwala zachować integralność szyfrowanej komunikacji.
Czas reakcji OCSP możesz sprawdzić za pomocą:
openssl s_klient -łączyć przykład.com:443 -status
openssl ocsp -emitent łańcuch.pem -certyfikat certyfikat.pem -tekst \
-adres URL http://ocsp.your-ca.com
Wyzwania związane z tradycyjnym OCSP
Mimo że protokół OCSP zastąpił obszerne listy CRL, wprowadził również własny zestaw wyzwań:
Problemy z wydajnością
Każde zapytanie przeglądarki do serwera OCSP CA powoduje opóźnienie w protokole SSL/TLS uścisk dłoni, co wydłuża czas ładowania stron i frustruje użytkowników.
Obawy dotyczące prywatności
Zapytania OCSP udostępniają urzędowi certyfikacji dane dotyczące przeglądania użytkownika, ponieważ sprawdzana domena jest częścią zapytania.
Słabość Soft-Fail
Większość przeglądarek korzysta z trybu miękkiej awarii, co oznacza:
-
Jeżeli serwer odpowiadający protokołu OCSP jest niedostępny, przeglądarki kontynuują nawiązywanie połączenia, zakładając, że certyfikat jest ważny.
Atakujący mogą wykorzystać tę lukę, blokując żądania OCSP i omijając sprawdzanie odwołań.
Czym jest zszywanie OCSP?
OCSP stapling przenosi walidację certyfikatu z przeglądarki na serwer. Zamiast, aby przeglądarka pytała CA, serwer uzyskuje i buforuje odpowiedź OCSP, którą dostarcza przeglądarce podczas SSL/TLS uścisk dłoni.
Jak działa zszywanie OCSP
- Serwer żąda statusu certyfikatu: Serwer okresowo wysyła zapytania do serwera OCSP urzędu certyfikacji.
- CA zapewnia podpisaną odpowiedź: Odbiorca zwraca podpisaną cyfrowo odpowiedź OCSP ze znacznikiem czasu.
- Serwer buforuje odpowiedź: Odpowiedź jest przechowywana przez okres 24–48 godzin, w zależności od
nextUpdate
pole. - Zszywanie podczas uścisku dłoni: Serwer uwzględnia buforowaną odpowiedź OCSP w TLS uścisk dłoni, umożliwiający przeglądarce sprawdzenie certyfikatu bez wysyłania zapytania do urzędu certyfikacji.
Zalety zszywania OCSP
- Szybszy SSL/TLS Uściski dłoni: Eliminuje potrzebę wysyłania zapytań do urzędu certyfikacji przez przeglądarki, co zmniejsza opóźnienia połączeń.
- Zwiększona prywatność: Aktywność użytkownika w sieci pozostaje prywatna, ponieważ zapytania OCSP nie są już wysyłane do urzędu certyfikacji.
- Poprawiona niezawodność: Przeglądarki opierają się na odpowiedziach OCSP dostarczanych przez serwer, co zmniejsza zależność od dostępności urzędu certyfikacji.
- Zmniejszone wykorzystanie przepustowości: Serwer obsługuje żądania OCSP partiami, minimalizując ruch sieciowy.
- Lepsze wrażenia użytkownika: Szybsze uściski dłoni i krótsze opóźnienia zwiększają zaufanie i zadowolenie.
Wady zszywania OCSP
- Wykorzystanie zasobów serwera: Pobieranie i buforowanie odpowiedzi protokołu OCSP zwiększa zapotrzebowanie serwera na przetwarzanie i pamięć.
- Ograniczone wsparcie klienta: Starsze przeglądarki lub niezgodni klienci mogą nie obsługiwać zszywania protokołu OCSP i powracać do tradycyjnych zapytań OCSP.
- Zmniejsz ryzyko ataku bez konieczności stosowania podstawowych elementów: Atakujący mogą ominąć zszywanie, wyświetlając certyfikaty bez zszytych odpowiedzi, chyba że certyfikat zawiera rozszerzenie Must-Staple.
Ulepszanie zszywania OCSP za pomocą Must-Staple
Kurs Niezbędne zszywanie rozszerzenie zapewnia, że certyfikat zawsze jest uzupełniony zszytą odpowiedzią OCSP. Jeśli odpowiedzi brakuje, przeglądarka odrzuca połączenie.
Korzyści z Must-Staple
- Ogranicza ataki typu downgrade poprzez wymuszanie zszytych odpowiedzi.
- Zmniejsza niepotrzebny ruch OCSP do urzędów certyfikacji.
- Wzmacnia bezpieczeństwo certyfikatów o dużej wartości.
Aby włączyć Must-Staple, skontaktuj się ze swoim CA, aby uzyskać pomoc.
Wdrażanie zszywania OCSP
Apache
Dodaj te dyrektywy do pliku konfiguracji SSL:
SSLUseStapling on
Pamięć podręczna SSLStaplingCache shmcb:/var/run/ocsp(128000)
Przekroczenie limitu czasu odpowiedzi SSLStaplingResponder 5
Zrestartuj Apache:
sudo systemctl restart apache2
nginx
Dodaj następującą konfigurację do bloku serwera:
ssl_stapling włączone;
ssl_stapling_verify włączone;
rezolwer 8.8.8.8;
certyfikat_zaufany_ssl /ścieżka/do/łańcucha.pem;
Uruchom ponownie Nginxa:
sudo systemctl restart nginx
Testowanie i weryfikacja zszywania OCSP
Testowanie przeglądarki
Otwórz narzędzia dla programistów przeglądarki (np. kartę Bezpieczeństwo w Chrome) i sprawdź status certyfikatu dla funkcji Stapling.
Testowanie wiersza poleceń
Sprawdź odpowiedź za pomocą OpenSSL:
openssl s_klient -łączyć twojadomena.com:443 -status
Potwierdź Odpowiedź OCSP Sekcja jest obecna w wynikach.
Rozwiązywanie problemów ze zszywaniem OCSP
Brak odpowiedzi zszytej
- Upewnij się, że Twój serwer może nawiązać połączenie z serwerem odpowiadającym OCSP urzędu certyfikacji.
- Sprawdź, czy wszystkie certyfikaty pośrednie są uwzględnione w łańcuchu certyfikatów.
Nieprawidłowe odpowiedzi
-
Zsynchronizuj zegar swojego serwera z serwerem NTP, aby uniknąć problemów ze znacznikami czasu.
Nadwyżka pamięci
-
Optymalizacja konfiguracji buforowania OCSP w środowiskach o dużym natężeniu ruchu.
Podsumowanie
OCSP stapling rozwiązuje problemy wydajności, prywatności i niezawodności tradycyjnych kontroli unieważnień. Łącząc go z Must-Staple, możesz dodatkowo chronić swoją witrynę przed zagrożeniami bezpieczeństwa, takimi jak ataki downgrade.
Wdróż OCSP stapling na swoim serwerze już dziś, aby poprawić wydajność i zaufanie użytkowników. Aby uzyskać dalsze wskazówki, dokumentacja Twojego Urzędu Certyfikacji i zespół wsparcia technicznego mogą zapewnić dodatkowy kontekst i pomoc.