OCSP-häftning: Säker och effektiv certifikatvalidering

Lär dig hur OCSP-häftning förbättrar SSL/TLS certifikatvalidering genom att förbättra prestanda, sekretess och tillförlitlighet, och upptäck hur du implementerar det på din server.

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

OCSP-häftning effektiviserar SSL /TLS certifikatvalidering som tar itu med prestanda-, integritets- och tillförlitlighetsutmaningarna med traditionella metoder. Genom att cachelagra certifikatstatus på servern och dela den under TLS handskakning, OCSP-häftning säkerställer snabbare och säkrare anslutningar.

Vad är OCSP?

Smakämnen Online -certifikatstatusprotokoll (OCSP) är en realtidsmetod för att verifiera giltigheten av en SSL/TLS certifikat. Hanteras av Certifikatutfärdare (CA), OCSP tillåter webbläsare att bekräfta om ett certifikat är:

  • Giltigt
  • återkallats
  • Okänd

Denna process förhindrar användare från att lita på återkallade certifikat, vilket bibehåller integriteten hos krypterad kommunikation.

Du kan testa din OCSP-svarstid med:

openssl s_klient -ansluta example.com:443 -status
openssl ocsp -utfärdare chain.pem -cert cert.pem -text \
-url http://ocsp.your-ca.com

Utmaningar med traditionell OCSP

Även om OCSP ersatte skrymmande CRL, introducerade den sin egen uppsättning utmaningar:

Prestationsproblem

Varje webbläsarfråga till en CA:s OCSP-svarare lägger till latens till SSL/TLS handskakning, långsammare sidladdningstider och frustrerande användare.

Personliga problem

OCSP-frågor exponerar användarens surfdata för CA, eftersom domänen som kontrolleras är en del av frågan.

Soft-Fail Svaghet

De flesta webbläsare använder soft-fail-läge, vilket betyder:

  • Om en OCSP-svarare inte är tillgänglig fortsätter webbläsare med anslutningen, förutsatt att certifikatet är giltigt.

Angripare kan utnyttja detta genom att blockera OCSP-förfrågningar och kringgå återkallningskontroller.

Vad är OCSP-häftning?

OCSP-häftning flyttar certifikatvalideringen från webbläsaren till servern. Istället för att webbläsaren frågar CA:n, hämtar och cachar servern OCSP-svaret, som den tillhandahåller webbläsaren under SSL/TLS handslag.

Hur OCSP-häftning fungerar

  1. Servern begär certifikatstatus: Servern frågar regelbundet CA:s OCSP-svarare.
  2. CA ger ett signerat svar: Svararen returnerar ett digitalt signerat, tidsstämplat OCSP-svar.
  3. Servern cachar svaret: Svaret lagras i 24–48 timmar, baserat på nextUpdate fält.
  4. Häftning under handskakning: Servern inkluderar det cachade OCSP-svaret i TLS handskakning, vilket gör att webbläsaren kan validera certifikatet utan att fråga CA.

Fördelar med OCSP-häftning

  • Snabbare SSL/TLS handskakningar: Eliminerar behovet för webbläsare att fråga CA, vilket minskar anslutningsfördröjningar.
  • Förbättrad sekretess: Användarens surfaktivitet förblir privat, eftersom OCSP-frågor inte längre skickas till CA.
  • Förbättrad tillförlitlighet: Webbläsare förlitar sig på serverlevererade OCSP-svar, vilket minskar beroendet av CA:s tillgänglighet.
  • Minskad bandbreddsanvändning: Servern hanterar OCSP-förfrågningar i omgångar, vilket minimerar nätverkstrafiken.
  • Bättre användarupplevelse: Snabbare handslag och minskad latens förbättrar förtroendet och tillfredsställelsen.

Nackdelar med OCSP-häftning

  • Serverresursanvändning: Hämtning och cachning av OCSP-svar lägger till bearbetning och minneskostnader till servern.
  • Begränsad kundsupport: Äldre webbläsare eller icke-kompatibla klienter kanske inte stöder OCSP-häftning, vilket återgår till traditionella OCSP-frågor.
  • Nedgradera attackrisk utan måste-häftning: Angripare kan kringgå häftning genom att visa certifikat utan häftade svar om inte certifikatet innehåller tillägget Must-Staple.

Förbättrar OCSP-häftning med måste-häftning

Smakämnen Måste-Staple extension säkerställer att ett certifikat alltid åtföljs av ett häftat OCSP-svar. Om svaret saknas avvisar webbläsaren anslutningen.

Fördelarna med Must-Staple

  • Dämpar nedgraderingsattacker genom att tvinga fram häftade svar.
  • Minskar onödig OCSP-trafik till CA.
  • Stärker säkerheten för högvärdiga certifikat.

För att aktivera Must-Staple, kontakta din CA för support.


Implementering av OCSP Stapling

Apache

Lägg till dessa direktiv till din SSL-konfigurationsfil:

SSLUseHäftning          on
SSLStaplingCache        shmcb:/var/run/ocsp(128000)
SSLStaplingResponderTimeout 5

Starta om Apache:

sudo systemctl omstart apache2

nginx

Lägg till följande konfiguration till ditt serverblock:

ssl_häftning på;
ssl_stapling_verify på;
resolver 8.8.8.8;
ssl_trusted_certificate /sökväg/till/kedja.pem;

Starta om Nginx:

sudo systemctl omstart nginx

Testa och verifiera OCSP-häftning

Webbläsartestning

Öppna webbläsarens utvecklarverktyg (t.ex. Chromes säkerhetsflik) och kontrollera certifikatets status för häftning.

Kommandoradstestning

Använd OpenSSL för att kontrollera det häftade svaret:

openssl s_klient -ansluta dindomän.com:443 -status

Bekräfta OCSP-svar sektionen finns i utgången.

Felsökning av OCSP-häftning

Inget häftat svar

  • Se till att din server kan nå CA:s OCSP-svarare.
  • Kontrollera att alla mellanliggande certifikat ingår i certifikatkedjan.

Ogiltiga svar

  • Synkronisera din servers klocka med en NTP-server för att undvika tidsstämpelproblem.

Minne Overhead

  • Optimera OCSP-cachekonfigurationer för miljöer med hög trafik.


Slutsats

OCSP-häftning löser prestanda-, integritets- och tillförlitlighetsutmaningarna med traditionella återkallningskontroller. Genom att para ihop den med Must-Staple kan du ytterligare skydda din webbplats mot säkerhetshot som nedgraderingsattacker.

Implementera OCSP-häftning på din server idag för att förbättra prestanda och användarförtroende. För ytterligare vägledning kan din certifikatutfärdares dokumentation och tekniska supportteam ge ytterligare sammanhang och hjälp.

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.