
Quando si parla di sicurezza online, la pinzatura OCSP è una tecnologia fondamentale che migliora sia la velocità che la privacy delle connessioni SSL/TLS. Sfruttandola, i siti web possono fornire informazioni sui certificati in modo più efficiente, migliorando le prestazioni del sito e l’esperienza degli utenti.
In questo articolo analizzeremo cos’è la pinzatura OCSP, i suoi vantaggi, come funziona e perché è diventata una parte essenziale dell’ottimizzazione SSL.
Indice dei contenuti
- Cos’è la pinzatura OCSP?
- Perché è stata sviluppata la pinzatura OCSP?
- Come funziona la pinzatura OCSP?
- I vantaggi principali della pinzatura OCSP
- Differenza tra OCSP e OCSP Stapling
- Alternative alla pinzatura OCSP: OCSP Must-Staple
- Contro della pinzatura OCSP
- Come abilitare la pinzatura OCSP?

Cos’è la pinzatura OCSP?
La pinzatura OCSP è una funzione avanzata dei protocolli SSL/TLS. protocolli SSL/TLS che consente a un server web di fornire una risposta OCSP (Online Certificate Status Protocol) direttamente ai client, come i browser web, durante l’handshake SSL. Tradizionalmente, i client web interrogano la
Il protocollo OCSP è progettato per garantire che i certificati SSL siano ancora validi e non siano stati revocati, fornendo aggiornamenti sullo stato tramite un risponditore OCSP. Si tratta di un’alternativa alla tradizionale
Perché è stata sviluppata la pinzatura OCSP?
La pinzatura OCSP è stata introdotta per risolvere diversi problemi legati ai controlli OCSP tradizionali, in particolare la latenza e la privacy, e per identificare in modo efficiente i certificati revocati.
Con l’approccio OCSP tradizionale, ogni volta che un client (come un browser web) ha bisogno di verificare un certificato SSL, deve inviare query OCSP all’Autorità di Certificazione per confermare la validità del certificato. Questa richiesta diretta spesso comporta
La pinzatura OCSP è stata sviluppata per risolvere questi problemi consentendo al server web stesso di ottenere e memorizzare nella cache una risposta OCSP. In questo modo, il server può fornire una risposta OCSP valida direttamente ai clienti senza la necessità di effettuare passaggi di verifica separati, riducendo la latenza e proteggendo la privacy dei clienti.
Come funziona la pinzatura OCSP?
Il processo è semplice ma efficace. Ecco una spiegazione passo dopo passo:
- Richiesta del server: Il server web richiede periodicamente una risposta OCSP all’Autorità di Certificazione. Questa risposta indica lo stato di revoca del certificato e ne conferma la validità.
- Memorizzazione nella cache della risposta: Il server memorizza nella cache la risposta OCSP, consentendo di utilizzarla più volte entro un certo periodo (in genere 24 ore). Questa risposta nella cache è quella che il server fornirà in seguito ai client che si connettono.
- Spillare la risposta: Quando un client tenta di stabilire una connessione SSL, il server include la risposta OCSP nella cache come parte dell’handshake SSL. Questa risposta fissa conferma al cliente che il certificato SSL è ancora valido, senza richiedere un’ulteriore richiesta alla CA.
- Verifica del cliente: Il client (ad esempio, un browser web) verifica la risposta OCSP spillata durante l’handshake SSL. Se la risposta è valida e recente, il client completa la connessione senza dover verificare direttamente la CA.
Pinzando la risposta OCSP, il server può ridurre la latenza e migliorare la velocità dell’handshake SSL, rendendo la connessione più veloce e più sicura.
I vantaggi principali della pinzatura OCSP
La sua implementazione offre diversi vantaggi per le prestazioni del sito web e per la privacy degli utenti:
- Riduzione della velocità e della latenza: Fornendo direttamente la risposta OCSP, il server elimina la necessità di una richiesta separata alla CA, riducendo la latenza e velocizzando gli handshake SSL.
- Maggiore privacy dell’utente: Le richieste dirette OCSP consentono alle Autorità di Certificazione di vedere quali clienti stanno visitando un determinato sito. Utilizzando la pinzatura OCSP, queste informazioni non vengono più condivise, proteggendo così la privacy degli utenti.
- Riduzione del carico sulle Autorità di Certificazione (CA): Riduce al minimo il volume di richieste che le CA devono gestire, migliorando l’affidabilità e la reattività dei sistemi di CA.
Questi vantaggi lo rendono uno strumento potente per migliorare le connessioni SSL, rendendolo una scelta sempre più popolare per i proprietari e gli amministratori di siti web.
Differenza tra OCSP e OCSP Stapling
Capire la distinzione tra OCSP tradizionale e OCSP stapling è essenziale per capire perché è preferito nelle moderne implementazioni SSL.
In una configurazione OCSP tradizionale, il cliente interroga direttamente la CA per verificare lo stato del certificato. Sebbene sia efficace, questo processo può portare a tempi di caricamento più lenti, poiché ogni interrogazione introduce una nuova richiesta esterna. Inoltre, l’OCSP tradizionale espone l’indirizzo IP del cliente alla CA, il che può sollevare problemi di privacy.
Con la pinzatura OCSP, invece, il server gestisce questa richiesta di risposta OCSP per conto del cliente. Recupera e memorizza lo stato del certificato digitale direttamente dalla CA, consentendogli di “pinzare” questa risposta all’handshake SSL. In questo modo, il cliente ottiene la verifica del certificato senza una richiesta aggiuntiva, rendendo la verifica SSL più veloce e privata.
Alternative alla pinzatura OCSP: OCSP Must-Staple
Per i siti web che necessitano di un ulteriore livello di sicurezza SSL, OCSP Must-Staple è un’alternativa interessante. Questa funzione richiede che il server
Vantaggi principali dell’OCSP Must-Staple
- Garantisce la convalida di certificati recenti: A differenza della pinzatura OCSP standard, che può fornire una risposta OCSP obsoleta, OCSP Must-Staple richiede che la risposta sia valida e recente. Questo garantisce un livello di fiducia più elevato nello stato del certificato.
- Aumenta gli standard di sicurezza: Imponendo la pinzatura OCSP come obbligatoria, OCSP Must-Staple riduce il rischio che un certificato non valido non venga rilevato dai client, rendendolo ideale per i siti che danno priorità a standard di sicurezza elevati.
Sebbene OCSP Must-Staple offra una maggiore sicurezza, potrebbe non essere adatto a tutti i siti. Ad esempio, i siti web più piccoli o quelli che non hanno esigenze di sicurezza elevate potrebbero trovare sufficiente la configurazione standard di pinzatura OCSP.

Contro della pinzatura OCSP
Sebbene la pinzatura OCSP offra notevoli vantaggi, è anche essenziale considerare i potenziali svantaggi e limiti.
- Dipendenza dal server: Poiché la risposta OCSP è fornita dal server, quest’ultimo è responsabile dell’aggiornamento regolare e della memorizzazione nella cache delle risposte valide. Se la risposta OCSP diventa obsoleta o non valida, potrebbe influenzare gli handshake SSL.
- Problemi di compatibilità: Alcuni vecchi client potrebbero non supportare pienamente la pinzatura OCSP, causando potenziali problemi di compatibilità. Tuttavia, la maggior parte dei browser e dei dispositivi moderni è in grado di gestire le risposte OCSP pinzate.
- Singolo punto di guasto: Se il meccanismo di pinzatura OCSP incontra dei problemi, potrebbe impedire ai client di confermare lo stato del certificato SSL, interrompendo potenzialmente l’accesso degli utenti.
Come abilitare la pinzatura OCSP?
Di seguito ti forniamo le istruzioni per abilitare la pinzatura OCSP sui sempre più diffusi server Windows, Apache e Nginx.
Abilita la pinzatura OCSP su Windows
La pinzatura OCSP è abilitata per impostazione predefinita su Windows Server 2008 e versioni successive. Se stai utilizzando una versione precedente di Windows Server, non è possibile abilitarla. Aggiorna a Windows 2008 o versioni successive.
Abilita la pinzatura OCSP su Apache
Apache supporta la pinzatura OCSP a partire da Apache HTTPD Web Server 2.3.3+. Se non sai quale versione stai utilizzando, usa i seguenti comandi:
apache2 -v
httpd -v
Successivamente, controlla se l’OCSP è abilitato. Segui i passaggi indicati di seguito:
- In OpenSSL, inserisci il seguente comando:
openssl.exe s_client -connect [yourdomain.com]:443 -status
Se OCSP è abilitato, riceverai la seguente risposta nella sezione OCSP Response Data: “OCSP Response Status: successful (0x0)”. Se l’OCSP non è abilitato, non vedrai alcun dato di risposta OCSP. In questo caso, assicurati che il tuo certificato intermedio sia installato correttamente. - Verifica che il tuo server Apache si sia connesso correttamente al server OCSP. Esegui il comando seguente:
curl ocsp.digicert.com/ping.html - Per abilitare la pinzatura OCSP, devi modificare il file di configurazione dell’host virtuale del tuo sito (your-domain.com-ssl.conf) utilizzando un editor di tua scelta. Il file di configurazione di solito risiede nella seguente directory: etc/apache2/sites-available/il-tuo-dominio.com-ssl.conf
- Apri il file e apporta le seguenti modifiche:
- Aggiungi le seguenti righe all’interno dei tag <VirtualHost>:
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off - Aggiungi una riga all’interno dei tag che punta a un file della catena di certificati attendibili. Questo deve contenere i certificati intermedi e radice in ordine:
SSLCACertificateFile /etc/apache2/ssl/full_chain.pem - Aggiungi la seguente riga al di fuori dei tag <VirtualHost>:
SSLStaplingCache shmcb:/var/run/ocsp(128000)
- Aggiungi le seguenti righe all’interno dei tag <VirtualHost>:
- Verifica la configurazione:
apachectl -t - Riavvia il server Apache
apachectl restart
Abilita la pinzatura OCSP su NGINX
È disponibile su NGINX 13.7 o successivo. Controlla la versione del tuo server web NGINX:
nginx-v
Usa le seguenti linee di comando di OpenSSL:
- Verifica che sia abilitato. In OpenSSL, esegui il seguente comando:
openssl s_client -connect [yourdomain.com]:443 -status - Se l’OCSP è abilitato, la sezione OCSP Response Data dovrebbe dire: Stato della risposta OCSP: successo (0x0)
- Se non è abilitato, non vedrai alcun dato di risposta OCSP. Se non ricevi la conferma che OCSP è abilitato, utilizza questa guida alla risoluzione dei problemi.
- Per abilitarlo, per prima cosa modifica il file di configurazione dei blocchi server del tuo sito (o nginx.conf se i blocchi server non sono utilizzati):
nano /etc/nginx/sites-enabled/my-domain.com-ssl.conf
o
nano /etc/nginx/nginx.conf
Nota: se devi abilitarlo su un solo blocco server, deve essere il “default_server”. Se devi abilitarlo su più blocchi server, deve essere abilitato prima sul “default_server”. Poi può essere abilitato su qualsiasi altro blocco server. - Attiva la pinzatura OCSP e abilita il server a verificare la pinzatura OCSP aggiungendo due righe all’interno del blocco server:
ssl_stapling on;
ssl_stapling_verify on; - Indica un file della catena di certificati attendibili che contenga i certificati intermedi e radice in ordine:
ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem - Verifica la configurazione:
sudo service nginx configtest - Riavvia NGINX:
sudo service nginx reload
In fondo, la linea di fondo
Noi di SSL Dragon ci impegniamo ad aiutarti a superare le complessità della sicurezza SSL/TLS per offrire ai tuoi utenti la migliore esperienza di navigazione possibile. L ‘OCSP Stapling è un potente strumento per aumentare sia la velocità che la privacy delle connessioni SSL, e per questo è una funzione essenziale per i siti web moderni.
Offriamo un’ampia selezione di certificati SSL che supportano l’OCSP Stapling, assicurando che il tuo sito soddisfi i più alti standard di velocità e sicurezza. Inizia a ottimizzare la tua configurazione SSL oggi stesso e vedrai la differenza in connessioni più veloci e sicure.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10






