O grampo OCSP simplifica SSL /TLS validação de certificado, abordando os desafios de desempenho, privacidade e confiabilidade dos métodos tradicionais. Ao armazenar em cache o status do certificado no servidor e compartilhá-lo durante o TLS aperto de mãoO grampeamento OCSP garante conexões mais rápidas e seguras.
O que é OCSP?
A Protocolo de status de certificado on-line (OCSP) é um método em tempo real para verificar a validade de um SSL/TLS certificado. Gerenciado por Autoridades Certificadoras (CAs), OCSP permite que os navegadores confirmem se um certificado é:
- Válido
- Revogado
- Desconhecido
Esse processo impede que os usuários confiem em certificados revogados, mantendo a integridade das comunicações criptografadas.
Você pode testar seu tempo de resposta OCSP com:
openssl s_cliente -conectar exemplo.com:443 -status
openssl ocsp - emissor cadeia.pem -certificado certificado.pem -texto \
-url http://ocsp.your-ca.com
Desafios com OCSP tradicional
Embora o OCSP tenha substituído CRLs volumosas, ele introduziu seu próprio conjunto de desafios:
Problemas de desempenho
Cada consulta do navegador ao respondedor OCSP de uma CA adiciona latência ao SSL/TLS aperto de mão, retardando o carregamento das páginas e frustrando os usuários.
Preocupações com a privacidade
As consultas OCSP expõem os dados de navegação do usuário à CA, pois o domínio que está sendo verificado faz parte da consulta.
Fraqueza de falha suave
A maioria dos navegadores usa o modo soft-fail, o que significa:
-
Se um respondedor OCSP não estiver disponível, os navegadores prosseguirão com a conexão, assumindo que o certificado é válido.
Os invasores podem explorar isso bloqueando solicitações OCSP, ignorando verificações de revogação.
O que é grampeamento OCSP?
O grampeamento OCSP desloca a validação do certificado do navegador para o servidor. Em vez de o navegador consultar a CA, o servidor obtém e armazena em cache a resposta OCSP, que ele fornece ao navegador durante o SSL/TLS aperto de mão.
Como funciona o grampeamento OCSP
- Status do certificado de solicitações do servidor: O servidor consulta periodicamente o respondedor OCSP da CA.
- CA fornece uma resposta assinada: O respondente retorna uma resposta OCSP assinada digitalmente e com registro de data e hora.
- O servidor armazena a resposta em cache: A resposta é armazenada por 24 a 48 horas, com base no
nextUpdate
campo. - Grampeamento durante o aperto de mão: O servidor inclui a resposta OCSP armazenada em cache no TLS handshake, permitindo que o navegador valide o certificado sem consultar a CA.
Vantagens do grampeamento OCSP
- SSL mais rápido/TLS Apertos de mão: Elimina a necessidade de os navegadores consultarem a CA, reduzindo atrasos de conexão.
- Privacidade aprimorada: A atividade de navegação do usuário permanece privada, pois as consultas OCSP não são mais enviadas à CA.
- Confiabilidade aprimorada: Os navegadores dependem de respostas OCSP fornecidas pelo servidor, reduzindo a dependência da disponibilidade da CA.
- Uso de largura de banda reduzido: O servidor manipula solicitações OCSP em lotes, minimizando o tráfego de rede.
- Melhor experiência do usuário: Apertos de mão mais rápidos e latência reduzida aumentam a confiança e a satisfação.
Desvantagens do grampeamento OCSP
- Uso de recursos do servidor: Buscar e armazenar em cache respostas OCSP adiciona sobrecarga de processamento e memória ao servidor.
- Suporte limitado ao cliente: Navegadores mais antigos ou clientes não compatíveis podem não oferecer suporte ao grampeamento OCSP, revertendo para consultas OCSP tradicionais.
- Risco de Ataque de Downgrade Sem Must-Staple: Os invasores podem ignorar o grampeamento fornecendo certificados sem respostas grampeadas, a menos que o certificado inclua a extensão Must-Staple.
Melhorando o grampeamento OCSP com Must-Staple
A Obrigatório A extensão garante que um certificado seja sempre acompanhado por uma resposta OCSP grampeada. Se a resposta estiver faltando, o navegador rejeita a conexão.
Benefícios do Must-Staple
- Atenua ataques de downgrade aplicando respostas grampeadas.
- Reduz o tráfego OCSP desnecessário para CAs.
- Fortalece a segurança de certificados de alto valor.
Para habilitar Must-Staple, entre em contato com seu CA para obter suporte.
Implementando o grampeamento OCSP
apache
Adicione estas diretivas ao seu arquivo de configuração SSL:
SSLUseStapling on
SSLStaplingCache shmcb:/var/run/ocsp(128000)
Tempo limite de resposta SSLStapling 5
Reinicie o Apache:
sudo systemctl restart apache2
nginx
Adicione a seguinte configuração ao seu bloco de servidor:
ssl_stapling ativado;
ssl_stapling_verify ativado;
resolver 8.8.8.8;
certificado_confiável_ssl /caminho/para/cadeia.pem;
Reinicie o Nginx:
sudo systemctl restart nginx
Testando e verificando o grampeamento OCSP
Teste do navegador
Abra as ferramentas do desenvolvedor do navegador (por exemplo, a guia Segurança do Chrome) e verifique o status do certificado para grampeamento.
Teste de linha de comando
Use o OpenSSL para verificar a resposta grampeada:
openssl s_cliente -conectar seudominio.com:443 -status
Confirme o Resposta OCSP seção está presente na saída.
Solução de problemas de grampeamento OCSP
Nenhuma resposta grampeada
- Certifique-se de que seu servidor possa alcançar o respondedor OCSP da CA.
- Verifique se todos os certificados intermediários estão incluídos na cadeia de certificados.
Respostas inválidas
-
Sincronize o relógio do seu servidor com um servidor NTP para evitar problemas de registro de data e hora.
Sobrecarga de memória
-
Otimize as configurações de cache OCSP para ambientes de alto tráfego.
Conclusão
O OCSP stapling resolve os desafios de desempenho, privacidade e confiabilidade das verificações de revogação tradicionais. Ao combiná-lo com Must-Staple, você pode proteger ainda mais seu site contra ameaças de segurança, como ataques de downgrade.
Implemente o grampeamento OCSP em seu servidor hoje para melhorar o desempenho e a confiança do usuário. Para mais orientações, a documentação e a equipe de suporte técnico da sua Autoridade Certificadora podem fornecer contexto e ajuda adicionais.