Ce este capsarea OCSP și cum se utilizează?

Un certificat SSL valabil semnat de o autoritate de certificare de încredere este obligatoriu în prezent pentru toate site-urile web. Dacă certificatul dvs. a expirat sau a fost revocat, browserele nu vor mai avea încredere în el. Browserele utilizează Online Certificate Status Protocol (OCSP) pentru a determina valabilitatea certificatului SSL. Cu toate acestea, OCSP original are câteva deficiențe, pe care tehnologia de capsare OCSP le depășește cu succes.

În acest articol, veți afla ce este capsarea OCSP, cum funcționează și de ce este importantă în gestionarea și infrastructura SSL.

Cuprins

  1. Ce este OCSP?
  2. Ce este capsarea OCSP?
  3. Cum funcționează capsarea OCSP
  4. Care sunt avantajele capsulării OCSP?
  5. Care sunt limitările OCSP Stapling?
  6. Ce browsere acceptă capsarea OCSP?
  7. Cum să verificați dacă serverul dvs. are activată capsarea OCSP?
  8. Cum se activează capsarea OCSP?

Ce este OCSP?

În termeni simpli, OCSP este o modalitate prin care dispozitivul dumneavoastră (mobil sau desktop) poate verifica dacă un certificat digital utilizat de un site web este încă valabil.

Certificatele SSL securizează site-urile web și tranzacțiile online prin verificarea identității acestora și criptarea datelor schimbate între browserele utilizatorilor și serverele site-ului. Cu toate acestea, toate certificatele de încredere au o dată de expirare. În plus, acestea pot fi revocate în timpul unor incidente de securitate critice și nu mai sunt de încredere.

Aici intervine OCSP. Atunci când vizitați un site web care utilizează HTTPS, browserul dvs. va verifica autoritatea de certificare (CA) a site-ului web pentru a vedea dacă certificatul este încă valabil.

Acest proces se desfășoară în fundal, iar dacă certificatul nu mai este valabil, browserul dvs. va afișa un mesaj de avertizare pentru a vă atenționa cu privire la potențialele riscuri de securitate.

Ce este capsarea OCSP?

Capsarea OCSP este o tehnologie care îmbunătățește performanța și securitatea verificării OCSP (Online Certificate Status Protocol) pe care un browser web o efectuează pentru a valida certificatul SSL al unui site web.

În cazul capsării OCSP, serverul site-ului web obține răspunsul OCSP de la autoritatea de certificare și îl “capsează” la certificatul SSL în timpul procesului de handshake SSL. Răspunsul capsat este apoi trimis browserului împreună cu certificatul, eliminând astfel necesitatea ca browserul să efectueze o verificare OCSP separată.

Ce este OCSP Must-Staple?

OCSP Must-Staple este o extensie de securitate care poate fi adăugată la un certificat SSL pentru a se asigura că starea certificatului este verificată de fiecare dată când un site web este vizitat. Atunci când un certificat are activată funcția OCSP Must-Staple, serverul site-ului web trebuie să transmită clientului o capsă OCSP de fiecare dată când primește un certificat SSL.

În cazul în care serverul nu poate primi un răspuns valid la verificarea stării certificatului, site-ul web nu se va încărca. Acest lucru ajută la împiedicarea atacatorilor de a folosi certificatele revocate pentru a se da drept site-uri web sau pentru a intercepta date sensibile.

Prin ce diferă capsarea OCSP de CRL-uri?

Capsarea OCSP și listele de revocare a certificatelor (CRL) sunt utilizate pentru a verifica starea de revocare a certificatelor SSL. Cu toate acestea, ele funcționează și au un impact diferit asupra procesului de strângere de mână SSL.

Listele de revocare a certificatelor (Certificate Revocation Lists – CRL) sunt depozite care conțin o listă de certificate revocate. Atunci când un client se conectează la un server prin SSL, serverul îi trimite clientului certificatul său digital.

Clientul verifică apoi starea de revocare a certificatului descărcând CRL din depozitul emitentului de certificate și comparând numărul de serie al certificatului cu lista de certificate revocate. În cazul în care certificatul se află în CRL, clientul va respinge certificatul și va încheia schimbul de informații.

Pe de altă parte, capsarea OCSP este un mecanism care permite serverului să furnizeze un răspuns OCSP (Online Certificate Status Protocol) semnat și ștampilat în timp, împreună cu certificatul său digital, în timpul cererii de stare a certificatului.

Deoarece conține deja starea de revocare a certificatului, clientul trebuie să verifice doar răspunsul OCSP furnizat direct de server în loc să descarce CRL și să verifice starea certificatului în raport cu lista de certificate revocate.

De ce este importantă capsarea OCSP?

Atunci când accesați un site web HTTPS, browserul dumneavoastră verifică starea certificatului digital. Pentru a confirma că certificatul este încă valabil, browserul folosește OCSP pentru a contacta emitentul acestuia, adică autoritatea de certificare. Deoarece CA este singura entitate care deține informații esențiale despre certificatul SSL, trebuie să răspundă la un număr mare de cereri OCSP în timp real, în special de la site-uri web cu trafic ridicat.

Din punct de vedere financiar, aceasta este o practică costisitoare pentru AC, dar și utilizatorii finali sunt afectați, deoarece răspunsurile OCSP multiple încetinesc viteza de încărcare. Cu OCSP simplu, browserele trebuie să se intereseze de certificat de la serverul web și de la autoritatea de certificare. Capsarea OCSP simplifică întregul proces.

Cum funcționează capsarea OCSP

După cum știți deja, atunci când un browser se conectează la un site web securizat, acesta trebuie să contacteze serverele OCSP ale autorității de certificare pentru a verifica validitatea certificatului SSL. Acest proces poate întârzia timpul de încărcare a paginii, deoarece browserul trebuie să aștepte răspunsul serverului OCSP.

Capsarea OCSP îmbunătățește protocolul OCSP, permițând serverului web, în locul browserului, să interogheze CA cu privire la starea certificatului SSL. Atunci când serverul web contactează furnizorul SSL, autoritatea de certificare oferă un răspuns digital de înaltă securitate, cu timbru de timp. Acum, atunci când serverul web se conectează la un browser, acesta leagă ștampila de timp semnată de certificatul SSL, ceea ce face ca verificarea să fie mai rapidă. În loc să ajungă la CA, browserul verifică marcajul de timp al serverului și, deoarece acesta formează o CA de încredere, are încredere în certificat.

Care sunt avantajele capsulării OCSP?

OCSP Stapling oferă mai multe avantaje, dar principalele sunt securitatea sporită, performanța îmbunătățită și traficul de rețea mai redus.

  • Securitate sporită. Capsarea OCSP previne atacurile de securitate care pot apărea din cauza certificatelor revocate. Răspunsul capsat asigură faptul că clientul dispune de cea mai recentă stare de revocare a certificatului, reducând riscul atacurilor de tip “man-in-the-middle” și al altor vulnerabilități bazate pe certificate.
  • Performanță îmbunătățită. Capsarea OCSP îmbunătățește performanța prin reducerea latenței asociate cu verificările de revocare a certificatelor. În loc ca clientul să fie nevoit să interogheze direct serverul OCSP al CA, serverul poate furniza un răspuns capsat în cadrul handshake-ului SSL, reducând astfel numărul de călătorii dus-întors și accelerând stabilirea conexiunii.
  • Reducerea traficului de rețea. Prin eliminarea necesității de a contacta direct serverul OCSP al CA, capsarea OCSP poate reduce semnificativ traficul de rețea și încărcarea serverului. Acest lucru poate contribui la îmbunătățirea scalabilității și fiabilității site-ului web, în special în perioadele de trafic ridicat.

Care sunt limitările OCSP Stapling?

Deși capsarea OCSP oferă mai multe avantaje, aceasta are limitări și potențiale dezavantaje. Iată câteva dintre ele:

  • Posibile riscuri de securitate. Capsarea OCSP implică trimiterea de informații sensibile în text clar prin rețea, ceea ce poate crea potențiale riscuri de securitate. De exemplu, un atacator ar putea intercepta și modifica răspunsul capsat, ceea ce ar duce la un fals sentiment de securitate pentru client.
  • Dependența de autoritatea de certificare. Capsarea OCSP necesită ca serverul web să obțină răspunsul capsat de la serverul OCSP al autorității de certificare. În cazul în care serverul OCSP al CA nu funcționează sau are probleme, serverul web nu va furniza un răspuns capsat valid.
  • Probleme de cache. Răspunsurile de capsare OCSP sunt stocate în memoria cache de către clienți și servere, ceea ce poate crea probleme în cazul în care memoria cache nu este actualizată în mod regulat. În cazul în care un certificat este revocat după ce răspunsul de capsulare este pus în memoria cache, clientul poate avea încredere în certificat până când memoria cache este actualizată.

Ce browsere acceptă capsarea OCSP?

Majoritatea browserelor web moderne, precum Chrome, Firefox, Safari și Microsoft Edge, acceptă capsarea OCSP. Cu toate acestea, este posibil ca unele browsere mai vechi sau mai puțin utilizate să nu fie compatibile sau ca nivelul de compatibilitate să varieze în funcție de versiunea și configurația specifică.

Cum să verificați dacă serverul dvs. are activată capsarea OCSP?

Puteți utiliza un instrument online sau un utilitar de linie de comandă, cum ar fi OpenSSL, pentru a testa dacă serverul a activat în mod implicit capsarea OCSP. Pașii exacți pentru a face acest lucru vor depinde de tipul de server pe care îl utilizați. În secțiunea următoare, oferim instrucțiuni despre cum să verificăm starea de capsare OCSP și să o activăm pe Windows, Apache și Nginix.

Cum se activează capsarea OCSP?

Mai jos, am furnizat instrucțiuni pentru activarea capsării OCSP pe serverele Windows, Apache și Nginx, mereu populare.

Activați capsarea OCSP pe Windows

Capsarea OCSP este activată în mod implicit pe Windows Server 2008 și versiunile ulterioare. Dacă executați o versiune anterioară a Windows Server, activarea capsării OCSP nu este posibilă. Vă rugăm să faceți o actualizare la Windows 2008 sau la o versiune ulterioară.

Activați OCSP Stapling pe Apache

Apache acceptă capsarea OCSP începând cu Apache HTTPD Web Server 2.3.3+. Dacă nu știți ce versiune executați, utilizați următoarele comenzi:

apache2 -v
httpd -v

În continuare, verificați dacă OCSP este activat. Urmați pașii de mai jos:

  1. În OpenSSL, introduceți următoarea comandă:

    openssl.exe s_client -connect [yourdomain .com]:443 -status

    Dacă OCSP este activat, veți primi următorul răspuns în secțiunea OCSP Response Data (Date de răspuns OCSP): “OCSP Response Status: succes (0x0)”. Dacă OCSP nu este activat, nu veți vedea datele de răspuns OCSP. În acest caz, asigurați-vă că certificatul intermediar este instalat corect.
  2. Verificați dacă serverul Apache s-a conectat cu succes la serverul OCSP. Executați comanda de mai jos:

    curl ocsp.digicert.com/ping.html
  3. Pentru a activa capsarea OCSP, trebuie să editați fișierul de configurare a gazdei virtuale pentru site-ul dvs. (your-domain.com-ssl.conf) utilizând editorul ales de dvs. Fișierul de configurare se află, de obicei, în următorul director: etc/apache2/sites-available/your-domain.com-ssl.conf
  4. Deschideți fișierul și efectuați următoarele modificări:
    • Adăugați următoarele linii în interiorul etichetelor <VirtualHost>:
      SSLUseStapling pe
      SSLStaplingResponderTimeout 5
      SSLStaplingReturnResponderErrors oprit
    • Adăugați o linie în interiorul etichetelor care să indice un fișier de încredere pentru lanțul de certificate. Acesta trebuie să conțină în ordine certificatele intermediare și rădăcină:
      SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
    • Adăugați următoarea linie în afara etichetelor <VirtualHost>:
      SSLStaplingCache shmcb:/var/run/ocsp(128000)
  5. Testați configurația:
    apachectl -t
  6. Reporniți serverul Apache
    apachectl restart

Activați OCSP Stapling pe NGINX

Capsarea OCSP este disponibilă pe NGINX 13,7 sau o versiune ulterioară. Verificați versiunea serverului web NGINX:
nginx-v

Utilizați următoarele linii de comandă pentru capsarea OCSP OpenSSL:

  1. Verificați dacă este activată capsarea OCSP. În OpenSSL, executați următoarea comandă:
    openssl s_client -connect [yourdomain .com]:443 -status
  2. Dacă OCSP este activat, secțiunea OCSP Response Data trebuie să conțină:
    “OCSP Response Status: succes (0x0)”
  3. Dacă nu este activată, nu veți vedea datele de răspuns OCSP. Dacă nu primiți confirmarea că OCSP este activat, utilizați acest ghid de depanare.
  4. Pentru a activa capsarea OCSP, editați mai întâi fișierul de configurare a blocurilor de server pentru site-ul dvs. (sau nginx.conf dacă nu se utilizează blocuri de server):
    nano /etc/nginx/sites-enabled/my-domain.com-ssl.conf
    sau
    nano /etc/nginx/nginx.conf

    Notă: Dacă trebuie să activați capsarea OCSP pe un singur bloc de servere, acesta trebuie să fie “default_server”. Dacă trebuie să o activați pe mai multe blocuri de servere, trebuie activată mai întâi pe “default_server”. Apoi poate fi activat pe orice alt bloc de servere.
  5. Activați capsarea OCSP și permiteți serverului să verifice capsarea OCSP prin adăugarea a două linii în interiorul blocului server:
    ssl_stapling on;
    ssl_stapling_verify on;
  6. Indicați un fișier de încredere al lanțului de certificate care conține în ordine certificatele intermediare și rădăcină:
    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem
  7. Verificați configurația:
    sudo service nginx configtest
  8. Reporniți NGINX
    sudo service nginx reload

Concluzie

Capsarea OCSP este o altă adăugare utilă la lista tot mai mare de extensii SSL/TLS. Pe măsură ce web-ul evoluează, la fel se întâmplă și cu tehnologia de gestionare a certificatelor. Prin includerea unui răspuns semnat digital în schimbul inițial de date, serverul evită necesitatea ca clienții să interogheze OCSP responderul CA, ceea ce reduce latența și eventualele probleme de confidențialitate.

Related Posts
Cum să verificați un certificat cu comenzi OpenSSL în Linux?
Ce este OpenSSL? Cum funcționează OpenSSL?
Ce este portul HTTPS 443 și cum se deschide?
Cum să treceți validarea controlului domeniului (DCV)?

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

Economisește 10% acum!