Grampeamento OCSP: Validação de Certificados Segura e Eficiente

Aprenda como o grampeamento OCSP aprimora o SSL/TLS validação de certificado melhorando o desempenho, a privacidade e a confiabilidade, e descubra como implementá-lo em seu servidor.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

O grampo OCSP simplifica SSL /TLS validação de certificado, abordando os desafios de desempenho, privacidade e confiabilidade dos métodos tradicionais. Ao armazenar em cache o status do certificado no servidor e compartilhá-lo durante o TLS aperto de mãoO grampeamento OCSP garante conexões mais rápidas e seguras.

O que é OCSP?

A Protocolo de status de certificado on-line (OCSP) é um método em tempo real para verificar a validade de um SSL/TLS certificado. Gerenciado por Autoridades Certificadoras (CAs), OCSP permite que os navegadores confirmem se um certificado é:

  • Válido
  • Revogado
  • Desconhecido

Esse processo impede que os usuários confiem em certificados revogados, mantendo a integridade das comunicações criptografadas.

Você pode testar seu tempo de resposta OCSP com:

openssl s_cliente -conectar exemplo.com:443 -status
openssl ocsp - emissor cadeia.pem -certificado certificado.pem -texto \
-url http://ocsp.your-ca.com

Desafios com OCSP tradicional

Embora o OCSP tenha substituído CRLs volumosas, ele introduziu seu próprio conjunto de desafios:

Problemas de desempenho

Cada consulta do navegador ao respondedor OCSP de uma CA adiciona latência ao SSL/TLS aperto de mão, retardando o carregamento das páginas e frustrando os usuários.

Preocupações com a privacidade

As consultas OCSP expõem os dados de navegação do usuário à CA, pois o domínio que está sendo verificado faz parte da consulta.

Fraqueza de falha suave

A maioria dos navegadores usa o modo soft-fail, o que significa:

  • Se um respondedor OCSP não estiver disponível, os navegadores prosseguirão com a conexão, assumindo que o certificado é válido.

Os invasores podem explorar isso bloqueando solicitações OCSP, ignorando verificações de revogação.

O que é grampeamento OCSP?

O grampeamento OCSP desloca a validação do certificado do navegador para o servidor. Em vez de o navegador consultar a CA, o servidor obtém e armazena em cache a resposta OCSP, que ele fornece ao navegador durante o SSL/TLS aperto de mão.

Como funciona o grampeamento OCSP

  1. Status do certificado de solicitações do servidor: O servidor consulta periodicamente o respondedor OCSP da CA.
  2. CA fornece uma resposta assinada: O respondente retorna uma resposta OCSP assinada digitalmente e com registro de data e hora.
  3. O servidor armazena a resposta em cache: A resposta é armazenada por 24 a 48 horas, com base no nextUpdate campo.
  4. Grampeamento durante o aperto de mão: O servidor inclui a resposta OCSP armazenada em cache no TLS handshake, permitindo que o navegador valide o certificado sem consultar a CA.

Vantagens do grampeamento OCSP

  • SSL mais rápido/TLS Apertos de mão: Elimina a necessidade de os navegadores consultarem a CA, reduzindo atrasos de conexão.
  • Privacidade aprimorada: A atividade de navegação do usuário permanece privada, pois as consultas OCSP não são mais enviadas à CA.
  • Confiabilidade aprimorada: Os navegadores dependem de respostas OCSP fornecidas pelo servidor, reduzindo a dependência da disponibilidade da CA.
  • Uso de largura de banda reduzido: O servidor manipula solicitações OCSP em lotes, minimizando o tráfego de rede.
  • Melhor experiência do usuário: Apertos de mão mais rápidos e latência reduzida aumentam a confiança e a satisfação.

Desvantagens do grampeamento OCSP

  • Uso de recursos do servidor: Buscar e armazenar em cache respostas OCSP adiciona sobrecarga de processamento e memória ao servidor.
  • Suporte limitado ao cliente: Navegadores mais antigos ou clientes não compatíveis podem não oferecer suporte ao grampeamento OCSP, revertendo para consultas OCSP tradicionais.
  • Risco de Ataque de Downgrade Sem Must-Staple: Os invasores podem ignorar o grampeamento fornecendo certificados sem respostas grampeadas, a menos que o certificado inclua a extensão Must-Staple.

Melhorando o grampeamento OCSP com Must-Staple

A Obrigatório A extensão garante que um certificado seja sempre acompanhado por uma resposta OCSP grampeada. Se a resposta estiver faltando, o navegador rejeita a conexão.

Benefícios do Must-Staple

  • Atenua ataques de downgrade aplicando respostas grampeadas.
  • Reduz o tráfego OCSP desnecessário para CAs.
  • Fortalece a segurança de certificados de alto valor.

Para habilitar Must-Staple, entre em contato com seu CA para obter suporte.


Implementando o grampeamento OCSP

apache

Adicione estas diretivas ao seu arquivo de configuração SSL:

SSLUseStapling          on
SSLStaplingCache        shmcb:/var/run/ocsp(128000)
Tempo limite de resposta SSLStapling 5

Reinicie o Apache:

sudo systemctl restart apache2

nginx

Adicione a seguinte configuração ao seu bloco de servidor:

ssl_stapling ativado;
ssl_stapling_verify ativado;
resolver 8.8.8.8;
certificado_confiável_ssl /caminho/para/cadeia.pem;

Reinicie o Nginx:

sudo systemctl restart nginx

Testando e verificando o grampeamento OCSP

Teste do navegador

Abra as ferramentas do desenvolvedor do navegador (por exemplo, a guia Segurança do Chrome) e verifique o status do certificado para grampeamento.

Teste de linha de comando

Use o OpenSSL para verificar a resposta grampeada:

openssl s_cliente -conectar seudominio.com:443 -status

Confirme o Resposta OCSP seção está presente na saída.

Solução de problemas de grampeamento OCSP

Nenhuma resposta grampeada

  • Certifique-se de que seu servidor possa alcançar o respondedor OCSP da CA.
  • Verifique se todos os certificados intermediários estão incluídos na cadeia de certificados.

Respostas inválidas

  • Sincronize o relógio do seu servidor com um servidor NTP para evitar problemas de registro de data e hora.

Sobrecarga de memória

  • Otimize as configurações de cache OCSP para ambientes de alto tráfego.


Conclusão

O OCSP stapling resolve os desafios de desempenho, privacidade e confiabilidade das verificações de revogação tradicionais. Ao combiná-lo com Must-Staple, você pode proteger ainda mais seu site contra ameaças de segurança, como ataques de downgrade.

Implemente o grampeamento OCSP em seu servidor hoje para melhorar o desempenho e a confiança do usuário. Para mais orientações, a documentação e a equipe de suporte técnico da sua Autoridade Certificadora podem fornecer contexto e ajuda adicionais.

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.