OCSP स्टेपलिंग क्या है और इसका उपयोग कैसे करें?

अंतिम अपडेट किया गया द्वारा Dionisie Gitlan

एक विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा हस्ताक्षरित एक वैध एसएसएल प्रमाणपत्र आज सभी वेबसाइटों के लिए अनिवार्य है। यदि आपके प्रमाणपत्र की समय सीमा समाप्त हो गई है या रद्द कर दी गई है, तो ब्राउज़र अब उस पर विश्वास नहीं करेंगे। ब्राउज़र आपके SSL प्रमाणपत्र की वैधता निर्धारित करने के लिए ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (OCSP) का उपयोग करते हैं। हालांकि, मूल ओसीएसपी में कुछ कमियां हैं, जिन्हें ओसीएसपी स्टेपलिंग तकनीक सफलतापूर्वक दूर करती है।

इस लेख में, आप सीखेंगे कि OCSP स्टेपलिंग क्या है, यह कैसे काम करता है, और यह SSL प्रबंधन और बुनियादी ढांचे में क्यों मायने रखता है।

विषय-सूची

  1. ओसीएसपी क्या है?
  2. OCSP स्टेपलिंग क्या है?
  3. OCSP स्टेपलिंग कैसे काम करता है
  4. OCSP स्टेपलिंग के क्या लाभ हैं?
  5. OCSP स्टेपलिंग की सीमाएँ क्या हैं?
  6. कौन से ब्राउज़र OCSP स्टेपलिंग का समर्थन करते हैं?
  7. कैसे सत्यापित करें कि आपके सर्वर में OCSP स्टेपलिंग सक्षम है या नहीं?
  8. OCSP स्टेपलिंग को कैसे सक्षम करें?

ओसीएसपी क्या है?

सरल शब्दों में, OCSP आपके डिवाइस (मोबाइल या डेस्कटॉप) के लिए यह जांचने का एक तरीका है कि वेबसाइट द्वारा उपयोग किया जाने वाला डिजिटल प्रमाणपत्र अभी भी मान्य है या नहीं।

एसएसएल प्रमाणपत्र वेबसाइटों और ऑनलाइन लेनदेन को उनकी पहचान सत्यापित करके और उपयोगकर्ता ब्राउज़र और साइट सर्वर के बीच आदान-प्रदान किए गए डेटा को एन्क्रिप्ट करके सुरक्षित करते हैं। हालाँकि, सभी विश्वसनीय प्रमाण पत्र एक समय सीमा समाप्ति दिनांक है। इसके अलावा, उन्हें महत्वपूर्ण सुरक्षा घटनाओं के दौरान रद्द किया जा सकता है और अब उन पर भरोसा नहीं किया जाता है।

यहीं पर OCSP आता है। जब आप HTTPS का उपयोग करने वाली किसी वेबसाइट पर जाते हैं, तो आपका ब्राउज़र यह देखने के लिए वेबसाइट के प्रमाणपत्र प्राधिकरण (CA) से जांच करेगा कि प्रमाणपत्र अभी भी मान्य है या नहीं।

यह प्रक्रिया पृष्ठभूमि में होती है, और यदि प्रमाणपत्र अब मान्य नहीं है, तो आपका ब्राउज़र आपको संभावित सुरक्षा जोखिमों के प्रति सचेत करने के लिए एक चेतावनी संदेश प्रदर्शित करेगा।

OCSP स्टेपलिंग क्या है?

OCSP स्टेपलिंग एक ऐसी तकनीक है जो ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) चेक के प्रदर्शन और सुरक्षा में सुधार करती है जो एक वेब ब्राउज़र वेबसाइट के SSL प्रमाणपत्र को मान्य करने के लिए करता है।

OCSP स्टेपलिंग के साथ, वेबसाइट का सर्वर प्रमाणपत्र प्राधिकरण से OCSP प्रतिक्रिया प्राप्त करता है और SSL हैंडशेक प्रक्रिया के दौरान इसे SSL प्रमाणपत्र में “स्टेपल” करता है। स्टेपल की गई प्रतिक्रिया तब प्रमाण पत्र के साथ ब्राउज़र को भेजी जाती है, जिससे ब्राउज़र को एक अलग OCSP जांच करने की आवश्यकता समाप्त हो जाती है।

OCSP मस्ट-स्टेपल क्या है?

OCSP मस्ट-स्टेपल एक सुरक्षा विस्तार है जिसे SSL प्रमाणपत्र में जोड़ा जा सकता है ताकि यह सुनिश्चित किया जा सके कि हर बार वेबसाइट पर जाने पर प्रमाणपत्र की स्थिति की जाँच की जाती है। जब किसी प्रमाणपत्र में OCSP मस्ट-स्टेपल सक्षम होता है, तो वेबसाइट के सर्वर को क्लाइंट को OCSP स्टेपल प्राप्त करने की आवश्यकता होती है जब भी उसे SSL प्रमाणपत्र प्राप्त होता है।

यदि प्रमाणपत्र की स्थिति की जांच करते समय सर्वर को वैध प्रतिक्रिया नहीं मिल सकती है, तो वेबसाइट लोड नहीं होगी। यह हमलावरों को वेबसाइटों का प्रतिरूपण करने या संवेदनशील डेटा को इंटरसेप्ट करने के लिए निरस्त प्रमाणपत्रों का उपयोग करने से रोकने में मदद करता है।

OCSP स्टेपलिंग CRLs से कैसे भिन्न होती है?

OCSP स्टेपलिंग और प्रमाणपत्र निरस्तीकरण सूची (CRLs) SSL प्रमाणपत्र के रद्दीकरण स्थिति की जाँच करने के लिए उपयोग किया जाता है। हालांकि, वे एसएसएल हैंडशेक प्रक्रिया को अलग तरह से संचालित और प्रभावित करते हैं।

प्रमाणपत्र रद्दीकरण सूचियाँ (CRLs) वे रिपॉजिटरी हैं जिनमें निरस्त प्रमाणपत्रों की सूची होती है. जब कोई क्लाइंट SSL के माध्यम से सर्वर से कनेक्ट होता है, तो सर्वर क्लाइंट को अपना डिजिटल प्रमाणपत्र भेजता है।

क्लाइंट तब प्रमाणपत्र जारीकर्ता के रिपॉजिटरी से CRL डाउनलोड करके और निरस्त किए गए प्रमाणपत्रों की सूची के साथ प्रमाणपत्र के सीरियल नंबर की तुलना करके प्रमाणपत्र की निरस्तीकरण स्थिति की जाँच करता है। प्रमाण पत्र CRL पर है, तो क्लाइंट प्रमाणपत्र अस्वीकार कर देंगे और हैंडशेक समाप्त।

दूसरी ओर, OCSP स्टेपलिंग, एक ऐसा तंत्र है जो सर्वर को प्रमाणपत्र स्थिति अनुरोध के दौरान अपने डिजिटल प्रमाणपत्र के साथ एक हस्ताक्षरित, समय-मुद्रांकित OCSP (ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल) प्रतिक्रिया प्रदान करने की अनुमति देता है।

चूंकि इसमें पहले से ही प्रमाणपत्र की निरस्तीकरण स्थिति है, इसलिए क्लाइंट को CRL डाउनलोड करने और निरस्त प्रमाणपत्रों की सूची के विरुद्ध प्रमाणपत्र की स्थिति सत्यापित करने के बजाय सर्वर द्वारा सीधे प्रदान किए गए OCSP उत्तरदाता की जांच करने की आवश्यकता है।

OCSP स्टेपलिंग क्यों मायने रखता है?

जब आप किसी HTTPS वेबसाइट पर पहुँचते हैं, तो आपका ब्राउज़र आपके डिजिटल प्रमाणपत्र की स्थिति की जाँच करता है. यह पुष्टि करने के लिए कि आपका प्रमाणपत्र अभी भी मान्य है, ब्राउज़र अपने जारीकर्ता, यानी प्रमाणपत्र प्राधिकरण से संपर्क करने के लिए OCSP का उपयोग करता है। चूंकि सीए एकमात्र इकाई है जो एसएसएल प्रमाणपत्र के बारे में महत्वपूर्ण जानकारी रखती है, इसलिए इसे वास्तविक समय में बड़ी संख्या में ओसीएसपी अनुरोधों का जवाब देना होगा, खासकर उच्च ट्रैफ़िक वाली वेबसाइटों से।

आर्थिक रूप से, यह सीए के लिए एक लागत-खपत अभ्यास है, लेकिन अंतिम उपयोगकर्ता भी प्रभावित होते हैं क्योंकि कई ओसीएसपी प्रतिक्रियाएं लोडिंग गति को धीमा कर देती हैं। सादे OCSP के साथ, ब्राउज़रों को वेब सर्वर और प्रमाणपत्र प्राधिकरण से प्रमाणपत्र के बारे में पूछताछ करनी होगी। OCSP स्टेपलिंग पूरी प्रक्रिया को सरल करता है।

OCSP स्टेपलिंग कैसे काम करता है

जैसा कि आप पहले से ही जानते हैं, जब कोई ब्राउज़र किसी सुरक्षित वेबसाइट से जुड़ता है, तो उसे एसएसएल प्रमाणपत्र की वैधता की जांच करने के लिए प्रमाणपत्र प्राधिकरण के ओसीएसपी सर्वर से संपर्क करना चाहिए। यह प्रक्रिया पृष्ठ लोडिंग समय में देरी कर सकती है, क्योंकि ब्राउज़र को प्रतिक्रिया देने के लिए OCSP सर्वर की प्रतीक्षा करनी पड़ती है।

OCSP स्टेपलिंग SSL प्रमाणपत्र की स्थिति पर CA क्वेरी ब्राउज़र के बजाय वेबसर्वर दे OCSP प्रोटोकॉल में सुधार करता है। वेब सर्वर SSL विक्रेता से संपर्क करता है, जब CA एक अत्यधिक सुरक्षित डिजिटल टाइम-स्टैम्प्ड प्रतिसाद देता है। अब, जब वेब सर्वर किसी ब्राउज़र से जुड़ता है, तो यह हस्ताक्षरित टाइम स्टैम्प को एसएसएल प्रमाणपत्र के साथ बांधता है, जिससे सत्यापन तेज हो जाता है। CA तक पहुँचने के बजाय, ब्राउज़र सर्वर के टाइम स्टैम्प की पुष्टि करता है, और चूंकि यह एक विश्वसनीय CA बनाता है, इसलिए प्रमाणपत्र पर भरोसा करता है।

OCSP स्टेपलिंग के क्या लाभ हैं?

OCSP स्टेपलिंग कई फायदे प्रदान करता है, लेकिन मुख्य हैं बढ़ी हुई सुरक्षा, बेहतर प्रदर्शन और कम नेटवर्क ट्रैफ़िक।

  • बढ़ी हुई सुरक्षा। OCSP स्टेपलिंग सुरक्षा हमलों को रोकता है जो निरस्त प्रमाणपत्रों के कारण हो सकते हैं। स्टेपल की गई प्रतिक्रिया यह सुनिश्चित करती है कि क्लाइंट के पास सबसे अद्यतित प्रमाणपत्र निरस्तीकरण स्थिति है, जिससे मैन-इन-द-मिडिल हमलों और अन्य प्रमाणपत्र-आधारित कमजोरियों का जोखिम कम हो जाता है।
  • बेहतर प्रदर्शन। OCSP स्टेपलिंग प्रमाणपत्र रद्दीकरण जाँच के साथ संबद्ध प्रतीक्षा अवधि को कम करके प्रदर्शन में सुधार करता है। क्लाइंट को सीधे सीए के ओसीएसपी सर्वर से पूछताछ करने की आवश्यकता के बजाय, सर्वर एसएसएल हैंडशेक में एक स्टेपल प्रतिक्रिया प्रदान कर सकता है, गोल यात्राओं को कम कर सकता है और कनेक्शन स्थापना को तेज कर सकता है।
  • कम नेटवर्क ट्रैफ़िक। CA के OCSP सर्वर से सीधे संपर्क करने की आवश्यकता को समाप्त करके, OCSP स्टेपलिंग नेटवर्क ट्रैफ़िक और सर्वर लोड को काफी कम कर सकता है। यह वेबसाइट की मापनीयता और विश्वसनीयता को बेहतर बनाने में मदद कर सकता है, खासकर उच्च-ट्रैफ़िक अवधि के दौरान।

OCSP स्टेपलिंग की सीमाएँ क्या हैं?

जबकि OCSP स्टेपलिंग कई लाभ प्रदान करता है, इसकी सीमाएँ और संभावित कमियाँ हैं। यहाँ उनमें से कुछ हैं:

  • संभावित सुरक्षा जोखिम। OCSP स्टेपलिंग में नेटवर्क पर स्पष्ट पाठ में संवेदनशील जानकारी भेजना शामिल है, जो संभावित सुरक्षा जोखिम पैदा कर सकता है। उदाहरण के लिए, एक हमलावर स्टेपल की गई प्रतिक्रिया को बाधित और संशोधित करने में सक्षम हो सकता है, जिससे क्लाइंट के लिए सुरक्षा की झूठी भावना पैदा हो सकती है।
  • प्रमाणपत्र प्राधिकरण पर निर्भरता। OCSP स्टेपलिंग के लिए वेब सर्वर को प्रमाणपत्र प्राधिकरण के OCSP सर्वर से स्टेपल की गई प्रतिक्रिया प्राप्त करने की आवश्यकता होती है। यदि CA का OCSP सर्वर डाउन है या समस्याओं का सामना कर रहा है, तो वेब सर्वर एक मान्य स्टेपल प्रतिक्रिया प्रदान नहीं करेगा।
  • कैशिंग मुद्दे। OCSP स्टेपलिंग प्रतिक्रियाओं को क्लाइंट और सर्वर द्वारा कैश किया जाता है, जो कैश को नियमित रूप से अपडेट नहीं करने पर समस्याएं पैदा कर सकता है। स्टेपलिंग प्रतिसाद कैश किया गया है के बाद कोई प्रमाण पत्र वापस ले लिया है, तो क्लाइंट अभी भी कैश अद्यतन किया गया है जब तक प्रमाण पत्र पर विश्वास हो सकता है।

कौन से ब्राउज़र OCSP स्टेपलिंग का समर्थन करते हैं?

क्रोम, फ़ायरफ़ॉक्स, सफारी और माइक्रोसॉफ्ट एज जैसे अधिकांश आधुनिक वेब ब्राउज़र ओसीएसपी स्टेपलिंग का समर्थन करते हैं। हालाँकि, कुछ पुराने या कम सामान्यतः उपयोग किए जाने वाले ब्राउज़र इसका समर्थन नहीं कर सकते हैं, या विशिष्ट संस्करण और कॉन्फ़िगरेशन के आधार पर समर्थन का स्तर भिन्न हो सकता है।

कैसे सत्यापित करें कि आपके सर्वर में OCSP स्टेपलिंग सक्षम है या नहीं?

आप ओपनएसएसएल जैसे ऑनलाइन टूल या कमांड-लाइन उपयोगिता का उपयोग यह जांचने के लिए कर सकते हैं कि सर्वर डिफ़ॉल्ट रूप से ओसीएसपी स्टेपलिंग को सक्षम करता है या नहीं। ऐसा करने के लिए सटीक चरण आपके द्वारा उपयोग किए जा रहे सर्वर के प्रकार पर निर्भर करेंगे। अगले भाग में, हम निर्देश प्रदान करते हैं o OCSP स्टेपलिंग स्थिति की जांच कैसे करें और इसे विंडोज, अपाचे और नगिनिक्स पर सक्षम करें।

OCSP स्टेपलिंग को कैसे सक्षम करें?

नीचे, हमने हमेशा लोकप्रिय विंडोज, अपाचे और नगिनक्स सर्वर पर OCSP स्टेपलिंग को सक्षम करने के निर्देश दिए हैं।

विंडोज़ पर OCSP स्टेपलिंग सक्षम करें

OCSP स्टेपलिंग Windows Server 2008 और बाद के संस्करणों पर डिफ़ॉल्ट रूप से सक्षम किया गया है। यदि आप पहले का Windows Server रिलीज़ चला रहे हैं, तो OCSP स्टेपलिंग को सक्षम करना संभव नहीं है। कृपया, विंडोज 2008 या बाद के संस्करण में अपडेट करें।

Apache पर OCSP स्टेपलिंग सक्षम करें

Apache Apache HTTPD वेब सर्वर 2.3.3+ से शुरू होने वाले OCSP स्टेपलिंग का समर्थन करता है। यदि आप नहीं जानते कि आप कौन सा संस्करण चला रहे हैं, तो निम्न आदेशों का उपयोग करें:

अपाचे2 –वी
httpd –v

अगला, जांचें कि ओसीएसपी सक्षम है या नहीं। नीचे दिए गए चरणों का पालन करें:

  1. ओपनएसएसएल में, निम्न कमांड दर्ज करें:

    ओपनएसएसएल.exe s_client -कनेक्ट [yourdomain .com]: 443 -स्टेटस

    यदि OCSP सक्षम है, तो आपको OCSP प्रतिसाद डेटा अनुभाग में निम्न प्रतिसाद प्राप्त होगा: “OCSP प्रतिसाद स्थिति: सफल (0x0)”। यदि OCSP सक्षम नहीं है, तो आपको कोई OCSP प्रतिसाद डेटा दिखाई नहीं देगा। इस स्थिति में, सुनिश्चित करें कि आपका मध्यवर्ती प्रमाणपत्र सही तरीके से स्थापित है।
  2. सत्यापित करें कि क्या आपका अपाचे सर्वर OCSP सर्वर से सफलतापूर्वक कनेक्ट हो गया है। नीचे दिए गए कमांड को रन करें:

    कर्ल ocsp.digicert.com/ping.html
  3. OCSP स्टेपलिंग को सक्षम करने के लिए, आपको अपनी पसंद के संपादक का उपयोग करके अपनी साइट (your-domain.com-ssl.conf) के लिए वर्चुअल होस्ट कॉन्फ़िगरेशन फ़ाइल को संपादित करना होगा। कॉन्फ़िगरेशन फ़ाइल आमतौर पर निम्नलिखित निर्देशिका में रहती है: etc/apache2/sites-available/your-domain.com-ssl.conf
  4. Open the file and make the following changes:
    • VirtualHost> टैग के <अंदर निम्न पंक्तियाँ जोड़ें:

      SSLUseStapling पर
      SSLStaplingResponderटाइमआउट 5
      SSLStaplingReturnResponderErrors off
    • टैग के अंदर एक पंक्ति जोड़ें जो एक विश्वसनीय प्रमाणपत्र श्रृंखला फ़ाइल को इंगित करती है। इसमें मध्यवर्ती & रूट प्रमाणपत्र क्रम में होना चाहिए:

      SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
    • VirtualHost> टैग के <बाहर निम्न पंक्ति जोड़ें:

      SSLStaplingCache shmcb:/var/run/ocsp(128000)
  5. अपने कॉन्फ़िगरेशन का परीक्षण करें:

    अपाचेक्टल –टी
  6. अपाचे सर्वर को पुनरारंभ करें

    apachectl पुनरारंभ करें

NGINX पर OCSP स्टेपलिंग सक्षम करें

OCSP स्टेपलिंग NGINX 13,7 या बाद के संस्करण पर उपलब्ध है। अपने NGINX वेब सर्वर संस्करण की जाँच करें:
एनजीआईएनएक्स-वी

निम्नलिखित OpenSSL OCSP स्टेपलिंग कमांड लाइनों का उपयोग करें:

  1. जांचें कि क्या OCSP स्टेपलिंग सक्षम है। ओपनएसएसएल में, निम्न कमांड चलाएँ:

    ओपनएसएसएल s_client -कनेक्ट [yourdomain .com]: 443 -स्टेटस
  2. यदि OCSP सक्षम है, तो OCSP प्रतिसाद डेटा अनुभाग को यह कहना चाहिए: OCSP प्रतिक्रिया स्थिति: सफल (0x0)
  3. यदि यह सक्षम नहीं है, तो आपको कोई OCSP प्रतिक्रिया डेटा दिखाई नहीं देगा। यदि आपको OCSP सक्षम होने की पुष्टि प्राप्त नहीं होती है, तो इस समस्या निवारण मार्गदर्शिका का उपयोग करें।
  4. OCSP स्टेपलिंग को सक्षम करने के लिए, पहले, अपनी साइट के लिए सर्वर ब्लॉक कॉन्फ़िगरेशन फ़ाइल संपादित करें (या nginx.conf यदि सर्वर ब्लॉक का उपयोग नहीं किया जाता है):

    नैनो /etc/nginx/sites-enabled/my-domain.com-ssl.conf

    नहीं तो

    नैनो /etc/nginx/nginx.conf

    नोट: यदि आपको केवल एक सर्वर ब्लॉक पर OCSP स्टेपलिंग को सक्षम करने की आवश्यकता है, तो यह “default_server” होना चाहिए। यदि आपको इसे कई सर्वर ब्लॉक पर सक्षम करने की आवश्यकता है, तो इसे पहले ‘default_server’ पर सक्षम किया जाना चाहिए। फिर इसे किसी अन्य सर्वर ब्लॉक पर सक्षम किया जा सकता है।
  5. OCSP स्टेपलिंग चालू करें और सर्वर ब्लॉक के अंदर दो पंक्तियाँ जोड़कर सर्वर को OCSP स्टेपलिंग की जाँच करने में सक्षम करें:

    ssl_stapling पर;
    ssl_stapling_verify पर;
  6. एक विश्वसनीय प्रमाणपत्र श्रृंखला फ़ाइल इंगित करें जिसमें मध्यवर्ती & रूट प्रमाणपत्र क्रम में हैं:

    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem
  7. अपने कॉन्फ़िगरेशन की जाँच करें:

    sudo सेवा nginx configTest
  8. एनजीआईएनएक्स को पुनरारंभ करें:

    sudo सेवा nginx पुनः लोड

समाप्ति

OCSP स्टेपलिंग SSL/TLS एक्सटेंशन की लगातार बढ़ती सूची में एक और उपयोगी जोड़ है। जैसे-जैसे वेब विकसित होता है, वैसे-वैसे प्रमाणपत्र प्रबंधन तकनीक भी विकसित होती है। प्रारंभिक हैंडशेक में डिजिटल रूप से हस्ताक्षरित प्रतिक्रिया को शामिल करके, सर्वर ग्राहकों को सीए के ओसीएसपी उत्तरदाता से पूछताछ करने की आवश्यकता से बचा जाता है, जो विलंबता और संभावित गोपनीयता चिंताओं को कम करता है।

आज ऑर्डर करते समय एसएसएल प्रमाणपत्रों पर 10% की बचत करें!

तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25 दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10

अभी 10% बचाएं!
द्वारा लिखित

एसएसएल प्रमाणपत्रों में विशेषज्ञता वाला अनुभवी सामग्री लेखक। जटिल साइबर सुरक्षा विषयों को स्पष्ट, आकर्षक सामग्री में बदलना। प्रभावशाली आख्यानों के माध्यम से डिजिटल सुरक्षा को बेहतर बनाने में योगदान करें।

संबंधित पोस्ट
Check a Certificate with OpenSSL
लिनक्स में ओपनएसएसएल कमांड के साथ प्रमाणपत्र की जांच कैसे करें?
ओपनएसएसएल क्या है? ओपनएसएसएल कैसे काम करता है?
What Is Port 443
पोर्ट 443 समझाया गया: यह क्या है और इसका उपयोग क्यों करना है
Port 443 vs 80
पोर्ट 443 बनाम 80: वे कैसे भिन्न होते हैं?
Perfect Forward Secrecy
साइबर सुरक्षा में पीएफएस क्या है? बिल्कुल सही आगे की गोपनीयता की व्याख्या की