O que é grampeamento OCSP e como usá-lo?

Um certificado SSL válido assinado por uma autoridade de certificação confiável é obrigatório hoje em dia para todos os sites. Se o seu certificado tiver expirado ou sido revogado, os navegadores não confiarão mais nele. Os navegadores usam o protocolo OCSP (Online Certificate Status Protocol) para determinar a validade do seu certificado SSL. No entanto, o OCSP original tem algumas deficiências, que a tecnologia de grampeamento do OCSP supera com sucesso.

Neste artigo, você aprenderá o que é o grampeamento OCSP, como ele funciona e por que ele é importante no gerenciamento e na infraestrutura de SSL.


Índice

  1. O que é OCSP?
  2. O que é grampeamento OCSP?
  3. Como funciona o grampeamento OCSP
  4. Quais são as vantagens do grampeamento OCSP?
  5. Quais são as limitações do grampeamento OCSP?
  6. Quais navegadores suportam o grampeamento OCSP?
  7. Como verificar se o servidor tem o grampeamento OCSP ativado?
  8. Como ativar o grampeamento OCSP?

O que é OCSP?

Em termos simples, o OCSP é uma maneira de seu dispositivo (móvel ou desktop) verificar se um certificado digital usado por um site ainda é válido.

Os certificados SSL protegem sites e transações on-line, verificando sua identidade e criptografando os dados trocados entre os navegadores dos usuários e os servidores do site. No entanto, todos os certificados confiáveis têm uma data de validade. Além disso, eles podem ser revogados durante incidentes críticos de segurança e não são mais confiáveis.

É aí que entra o OCSP. Quando você visita um site usando HTTPS, seu navegador verifica com a autoridade de certificação (CA) do site se o certificado ainda é válido.

Esse processo ocorre em segundo plano e, se o certificado não for mais válido, o navegador exibirá uma mensagem de aviso para alertá-lo sobre possíveis riscos à segurança.


O que é grampeamento OCSP?

O grampeamento OCSP é uma tecnologia que melhora o desempenho e a segurança da verificação do protocolo OCSP (Online Certificate Status Protocol) que um navegador da Web executa para validar o certificado SSL do site.

Com o grampeamento OCSP, o servidor do site obtém a resposta OCSP da autoridade de certificação e a “grampeia” no certificado SSL durante o processo de handshake SSL. A resposta grampeada é então enviada ao navegador junto com o certificado, eliminando a necessidade de o navegador executar uma verificação OCSP separada.

O que é OCSP Must-Staple?

OCSP Must-Staple é uma extensão de segurança que pode ser adicionada a um certificado SSL para garantir que o status do certificado seja verificado sempre que um site for visitado. Quando um certificado tem o OCSP Must-Staple ativado, o servidor do site é obrigado a fornecer ao cliente um grampo OCSP sempre que receber um certificado SSL.

Se o servidor não conseguir obter uma resposta válida ao verificar o status do certificado, o site não será carregado. Isso ajuda a evitar que os invasores usem certificados revogados para se passar por sites ou interceptar dados confidenciais.


Qual é a diferença entre o grampeamento OCSP e as LCRs?

O grampeamento OCSP e as listas de revogação de certificados (CRLs) são usados para verificar o status de revogação de certificados SSL. No entanto, eles operam e afetam o processo de handshake do SSL de forma diferente.

As listas de revogação de certificados (CRLs) são repositórios que contêm uma lista de certificados revogados. Quando um cliente se conecta a um servidor via SSL, o servidor envia seu certificado digital para o cliente.

Em seguida, o cliente verifica o status de revogação do certificado baixando a LCR do repositório do emissor do certificado e comparando o número de série do certificado com a lista de certificados revogados. Se o certificado estiver na CRL, o cliente rejeitará o certificado e encerrará o handshake.

O grampeamento OCSP, por outro lado, é um mecanismo que permite que o servidor forneça uma resposta OCSP (Online Certificate Status Protocol) assinada e com registro de data e hora junto com seu certificado digital durante a solicitação de status do certificado.

Como ele já contém o status de revogação do certificado, o cliente precisa verificar apenas a resposta OCSP fornecida diretamente pelo servidor, em vez de fazer download da LCR e verificar o status do certificado em relação à lista de certificados revogados.


Por que o grampeamento OCSP é importante?

Quando você acessa um site HTTPS, o navegador verifica o status do seu certificado digital. Para confirmar que o seu certificado ainda é válido, o navegador usa o OCSP para entrar em contato com o emissor, ou seja, a autoridade de certificação. Como a CA é a única entidade que detém informações cruciais sobre o certificado SSL, ela deve responder a um grande número de solicitações OCSP em tempo real, especialmente de sites com alto tráfego.

Financeiramente, essa é uma prática que consome muito dinheiro da AC, mas os usuários finais também são afetados, pois várias respostas OCSP reduzem a velocidade de carregamento. Com o OCSP simples, os navegadores precisam perguntar sobre o certificado ao servidor da Web e à autoridade de certificação. O grampeamento OCSP simplifica todo o processo.


Como funciona o grampeamento OCSP

Como você já sabe, quando um navegador se conecta a um site seguro, ele deve entrar em contato com os servidores OCSP da autoridade de certificação para verificar a validade do certificado SSL. Esse processo pode atrasar o tempo de carregamento da página, pois o navegador precisa aguardar a resposta do servidor OCSP.

O grampeamento OCSP aprimora o protocolo OCSP, permitindo que o servidor da Web, em vez do navegador, consulte a CA sobre o status do certificado SSL. Quando o servidor da Web entra em contato com o fornecedor de SSL, a CA fornece uma resposta altamente segura com registro de data e hora digital. Agora, quando o servidor da Web se conecta a um navegador, ele vincula o carimbo de data/hora assinado ao certificado SSL, tornando a verificação mais rápida. Em vez de acessar a CA, o navegador verifica o registro de data e hora do servidor e, como ele forma uma CA confiável, confia no certificado.


Quais são as vantagens do grampeamento OCSP?

O grampeamento OCSP oferece várias vantagens, mas as principais são segurança aprimorada, melhor desempenho e menor tráfego de rede.

  • Segurança aprimorada. O grampeamento OCSP evita ataques de segurança que podem ocorrer devido a certificados revogados. A resposta grampeada garante que o cliente tenha o status de revogação de certificado mais atualizado, reduzindo o risco de ataques man-in-the-middle e outras vulnerabilidades baseadas em certificados.
  • Desempenho aprimorado. O grampeamento OCSP melhora o desempenho ao reduzir a latência associada às verificações de revogação de certificados. Em vez de o cliente precisar consultar diretamente o servidor OCSP da CA, o servidor pode fornecer uma resposta grampeada no handshake SSL, reduzindo as viagens de ida e volta e acelerando o estabelecimento da conexão.
  • Menor tráfego de rede. Ao eliminar a necessidade de entrar em contato diretamente com o servidor OCSP da CA, o grampeamento OCSP pode reduzir significativamente o tráfego de rede e a carga do servidor. Isso pode ajudar a melhorar a escalabilidade e a confiabilidade do site, especialmente durante períodos de alto tráfego.

Quais são as limitações do grampeamento OCSP?

Embora o grampeamento OCSP ofereça vários benefícios, ele tem limitações e possíveis desvantagens. Aqui estão alguns deles:

  • Possíveis riscos de segurança. O grampeamento OCSP envolve o envio de informações confidenciais em texto claro pela rede, o que pode criar possíveis riscos à segurança. Por exemplo, um invasor pode ser capaz de interceptar e modificar a resposta grampeada, levando a uma falsa sensação de segurança para o cliente.
  • Dependência da autoridade de certificação. O grampeamento OCSP exige que o servidor da Web obtenha a resposta grampeada do servidor OCSP da autoridade de certificação. Se o servidor OCSP da CA estiver inativo ou com problemas, o servidor da Web não fornecerá uma resposta grampeada válida.
  • Problemas de cache. As respostas de grampeamento OCSP são armazenadas em cache por clientes e servidores, o que pode criar problemas se o cache não for atualizado regularmente. Se um certificado for revogado depois que a resposta de grampeamento for armazenada em cache, o cliente ainda poderá confiar no certificado até que o cache seja atualizado.

Quais navegadores suportam o grampeamento OCSP?

A maioria dos navegadores da Web modernos, como Chrome, Firefox, Safari e Microsoft Edge, é compatível com o grampeamento OCSP. No entanto, alguns navegadores mais antigos ou menos usados podem não ser compatíveis ou o nível de suporte pode variar de acordo com a versão e a configuração específicas.


Como verificar se o servidor tem o grampeamento OCSP ativado?

Você pode usar uma ferramenta on-line ou um utilitário de linha de comando, como o OpenSSL, para testar se o servidor ativou o grampeamento OCSP por padrão. As etapas exatas para fazer isso dependerão do tipo de servidor que você está usando. Na próxima seção, forneceremos instruções sobre como verificar o status do grampeamento OCSP e ativá-lo no Windows, Apache e Nginix.


Como ativar o grampeamento OCSP?

Abaixo, fornecemos instruções para ativar o grampeamento OCSP nos sempre populares servidores Windows, Apache e Nginx.

Ativar o grampeamento OCSP no Windows

O grampeamento OCSP é ativado por padrão no Windows Server 2008 e em versões posteriores. Se você estiver executando uma versão anterior do Windows Server, não será possível ativar o grampeamento OCSP. Atualize para o Windows 2008 ou posterior.


Ativar o grampeamento OCSP no Apache

O Apache suporta o grampeamento OCSP a partir do Apache HTTPD Web Server 2.3.3+. Se não souber qual versão está sendo executada, use os seguintes comandos:

apache2 -v
httpd -v

Em seguida, verifique se o OCSP está ativado. Siga as etapas abaixo:

  1. No OpenSSL, digite o seguinte comando:

    openssl.exe s_client -connect [yourdomain .com]:443 -status

    Se o OCSP estiver ativado, você receberá a seguinte resposta na seção Dados de resposta do OCSP: “Status da resposta OCSP: bem-sucedida (0x0)”. Se o OCSP não estiver ativado, você não verá nenhum dado de resposta do OCSP. Nesse caso, verifique se o certificado intermediário está instalado corretamente.
  2. Verifique se o servidor Apache se conectou com êxito ao servidor OCSP. Execute o comando abaixo:

    curl ocsp.digicert.com/ping.html
  3. Para ativar o grampeamento OCSP, é necessário editar o arquivo de configuração do host virtual do seu site (your-domain.com-ssl.conf) usando o editor de sua preferência. O arquivo de configuração geralmente está localizado no seguinte diretório: etc/apache2/sites-available/your-domain.com-ssl.conf
  4. Open the file and make the following changes:
    • Adicione as seguintes linhas dentro das tags <VirtualHost>:

      SSLUseStapling ligado
      SSLStaplingResponderTimeout 5
      SSLStaplingReturnResponderErrors desativado

    • Adicione uma linha dentro das tags que aponte para um arquivo de cadeia de certificados confiável. Ele deve conter os certificados intermediários e raiz em ordem:

      SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
    • Adicione a seguinte linha fora das tags <VirtualHost>:

      SSLStaplingCache shmcb:/var/run/ocsp(128000)
  5. Teste sua configuração:

    apachectl -t
  6. Reinicie o servidor Apache

    apachectl restart

Ativar o grampeamento OCSP no NGINX

O grampeamento OCSP está disponível no NGINX 13,7 ou posterior. Verifique a versão do servidor da Web NGINX:
nginx-v

Use as seguintes linhas de comando de grampeamento OpenSSL OCSP:

  1. Verifique se o grampeamento OCSP está ativado. No OpenSSL, execute o seguinte comando:

    openssl s_client -connect [yourdomain .com]:443 -status
  2. Se o OCSP estiver ativado, a seção Dados da resposta do OCSP deverá conter: Status da resposta OCSP: bem-sucedida (0x0)
  3. Se não estiver ativado, você não verá nenhum dado de resposta OCSP. Se você não receber a confirmação de que o OCSP está ativado, use este guia de solução de problemas.
  4. Para ativar o grampeamento OCSP, primeiro edite o arquivo de configuração do bloco do servidor do seu site (ou nginx.conf se os blocos do servidor não forem usados):

    nano /etc/nginx/sites-enabled/my-domain.com-ssl.conf

    ou

    nano /etc/nginx/nginx.conf

    Observação: se você precisar ativar o grampeamento OCSP em apenas um bloco de servidor, ele deverá ser o “default_server”. Se você precisar ativá-lo em vários blocos de servidores, ele deverá ser ativado primeiro no ‘default_server’. Em seguida, ele pode ser ativado em qualquer outro bloco de servidor.
  5. Ative o grampeamento OCSP e permita que o servidor verifique o grampeamento OCSP adicionando duas linhas dentro do bloco do servidor:

    ssl_stapling ligado;
    ssl_stapling_verify on;

  6. Indique um arquivo de cadeia de certificados confiável que contenha os certificados intermediários e raiz em ordem:

    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem
  7. Verifique sua configuração:

    sudo service nginx configtest
  8. Reinicie o NGINX:

    sudo service nginx reload

Conclusão

O grampeamento OCSP é outro acréscimo útil à lista cada vez maior de extensões SSL/TLS. À medida que a Web evolui, o mesmo acontece com a tecnologia de gerenciamento de certificados. Ao incluir uma resposta assinada digitalmente no handshake inicial, o servidor evita a necessidade de os clientes consultarem o respondedor OCSP da CA, o que reduz a latência e as possíveis preocupações com a privacidade.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.