OCSP Stapling:安全高效的证书验证

了解 OCSP 装订如何增强 SSL/TLS 通过提高性能、隐私和可靠性来实现证书验证,并了解如何在您的服务器上实现它。

相关内容

想继续学习吗?

订阅 SSL.com 的新闻通讯,随时了解最新信息并获得安全保障。

OCSP 装订简化 SSL /TLS 证书验证,解决传统方法的性能、隐私和可靠性挑战。通过在服务器上缓存证书状态并在 TLS 握手,OCSP 装订可确保更快、更安全的连接。

什么是OCSP?

这款 在线证书状态协议(OCSP) 是一种实时验证 SSL 有效性的方法/TLS 证书。由 证书颁发机构 (CA),OCSP 允许浏览器确认证书是否:

  • 有效
  • 已撤销
  • 不明

此过程可防止用户信任已撤销的证书,从而维护加密通信的完整性。

您可以使用以下方法测试 OCSP 响应时间:

openssl的 客户端 -连接 例子.com:443 -地位
openssl的 操作系统 -发行人 链表 -证书 证书文件 -文本 \
-网址 http://ocsp.your-ca.com

传统 OCSP 面临的挑战

尽管 OCSP 取代了庞大的 CRL,但它也带来了一系列挑战:

性能问题

浏览器每次向 CA 的 OCSP 响应器发出查询都会增加 SSL/TLS 握手,减慢页面加载时间并让用户感到沮丧。

隐私问题

OCSP 查询将用户浏览数据公开给 CA,因为被检查的域是查询的一部分。

软故障弱点

大多数浏览器使用软失败模式,这意味着:

  • 如果 OCSP 响应器不可用,浏览器将继续连接,假定证书有效。

攻击者可以通过阻止 OCSP 请求、绕过撤销检查来利用此问题。

什么是 OCSP 装订?

OCSP 装订将证书验证从浏览器转移到服务器。浏览器无需查询 CA,服务器即可获取并缓存 OCSP 响应,并在 SSL/TLS 期间将该响应提供给浏览器。TLS 握手。

OCSP 装订的工作原理

  1. 服务器请求证书状态: 服务器定期查询 CA 的 OCSP 响应器。
  2. CA 提供签名的回复: 响应者返回带有数字签名和时间戳的 OCSP 响应。
  3. 服务器缓存响应: 根据 nextUpdate 领域。
  4. 握手时装订: 服务器将缓存的 OCSP 响应包含在 TLS 握手,允许浏览器无需查询 CA 即可验证证书。

OCSP 装订的优点

  • 更快的 SSL/TLS 握手: 无需浏览器查询 CA,从而减少连接延迟。
  • 增强隐私: 用户浏览活动保持私密,因为 OCSP 查询不再发送给 CA。
  • 更高的可靠性: 浏览器依赖服务器提供的 OCSP 响应,从而减少对 CA 可用性的依赖。
  • 减少带宽使用: 服务器批量处理 OCSP 请求,最大限度地减少网络流量。
  • 更好的用户体验: 更快的握手和减少的延迟可提高信任和满意度。

OCSP 装订的缺点

  • 服务器资源使用: 获取和缓存 OCSP 响应会增加服务器的处理和内存开销。
  • 有限的客户端支持: 旧版浏览器或不兼容的客户端可能不支持 OCSP 装订,从而恢复为传统的 OCSP 查询。
  • 无需 Must-Staple 即可降低攻击风险: 攻击者可以通过提供没有装订响应的证书来绕过装订,除非证书包含 Must-Staple 扩展。

使用 Must-Staple 增强 OCSP 装订

这款 必须装订 扩展可确保证书始终附带一个已绑定的 OCSP 响应。如果缺少响应,浏览器将拒绝连接。

必备品的好处

  • 通过强制执行固定响应来减轻降级攻击。
  • 减少到 CA 的不必要的 OCSP 流量。
  • 加强高价值证书的安全性。

要启用 Must-Staple, 联系你的 CA 获取支持.


实现 OCSP 装订

阿帕奇

将这些指令添加到您的 SSL 配置文件:

SSLUseStapling          on
SSLStaplingCache        shmcb:/var/运行/ocsp(128000)
SSLStaplingResponderTimeout 5

重新启动Apache:

须藤 systemctl 重新开始 apache2

Nginx的

将以下配置添加到您的服务器块:

ssl_stapling 开启;
ssl_stapling_verify 开启;
分解器 8.8.8.8;
ssl_trusted_certificate /路径/到/chain.pem;

重新启动 Nginx:

须藤 systemctl 重新开始 nginx的

测试和验证 OCSP 装订

浏览器测试

打开浏览器开发人员工具(例如 Chrome 的安全选项卡)并检查证书状态以进行装订。

命令行测试

使用 OpenSSL 检查装订的响应:

openssl的 客户端 -连接 您的域名.com:443 -地位

确认 OCSP 响应 部分存在于输出中。

OCSP 装订故障排除

无装订回复

  • 确保您的服务器可以访问 CA 的 OCSP 响应器。
  • 验证所有中间证书是否包含在证书链中。

无效回应

  • 将服务器的时钟与 NTP 服务器同步,以避免时间戳问题。

内存开销

  • 针对高流量环境优化 OCSP 缓存配置。


总结

OCSP 装订解决了传统撤销检查的性能、隐私和可靠性挑战。通过将其与 Must-Staple 配对,您可以进一步保护您的网站免受降级攻击等安全威胁。

立即在您的服务器上实施 OCSP 装订,以提高性能和用户信任度。如需进一步指导,您的证书颁发机构的文档和技术支持团队可以提供更多背景信息和帮助。

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。