Meteen naar de inhoud

Certificaten met een geldigheidsduur van 47 dagen komen eraan. Ben je klaar?

Handel nu →

  1. Blogs
    2. PKI

Inleiding tot OCSP-nieten

Posted byDivyansh Dwivedi 8 minuten
Inleiding tot OCSP-nieten
Inhoudsopgave

SSL-certificaten Zijn essentieel voor veilige internetcommunicatie, omdat ze browsers en gebruikers helpen ervoor te zorgen dat de websites waarmee ze interacteren legitiem zijn. Je kunt deze digitale certificaten zien als digitale ID's die de identiteit en legitimiteit van een website verifiëren.

Wanneer we via een browser verbinding maken met een website, HTTPS Verbinding, onze browser controleert de digitale ID (het certificaat) met een vertrouwde bron en voert deze taken zo uit aan de achterkant. Dit hele proces, met name het verifiëren van de handtekening van het certificaat, helpt de browser te verifiëren of we ons op een echte of een neppe server bevinden. 

Er zijn echter situaties waarin een handtekening niet te vertrouwen is. In die gevallen wordt een mechanisme genaamd herroeping Intrekking laat browsers weten wanneer een certificaat niet langer veilig te gebruiken is. Dit kan te wijten zijn aan een servercompromittering, een menselijke fout of een ander beveiligingsprobleem. 

Certificaat intrekking is een proces waarbij een Certificeringsinstantie maakt een SSL-certificaat ongeldig. Zodra een certificaat is ingetrokken, kan het niet meer worden gebruikt om een ​​beveiligde verbinding tot stand te brengen. Gebruikers worden ook op de hoogte gesteld van de intrekkingslijst om mogelijke beveiligingsrisico's te beheersen. 

Maar waarom zou een CA een certificaat intrekken? De meest voorkomende reden hiervoor is dat de gebruiker/entiteit die het certificaat bezit, digitaal certificaat verzoekt om intrekking ervan. Een andere reden is dat de CA zich realiseert dat het certificaat ten onrechte is uitgegeven. In beide scenario's is het van cruciaal belang om beveiligingslekken te voorkomen die gemakkelijk kunnen worden uitgebuit.  

Het belangrijkste om hier op te merken is dat het intrekken van het certificaat alleen niet voldoende is; dit moet ook aan de eindgebruiker worden gecommuniceerd. Dit is waar OCSP-nieten in het spel komt. 

Wat is OCSP-nieten?  

Online Certificate Status Protocol (OCSP) stapling is een internetstandaard die wordt gebruikt om de intrekkingsstatus van X.509-certificatenDit proces omvatte het periodiek versturen van statusverzoeken naar de certificeringsinstantie (CA) en het doorgeven van het antwoord aan de browser ter verificatie. Wanneer een client verbinding wil maken met de server, presenteert deze een antwoord waarin de intrekkingsstatus wordt gevalideerd.

Deze aanpak zorgt ervoor dat de browser snel kan verifiëren of het certificaat geldig of ingetrokken is, zonder rechtstreeks contact op te nemen met de CA. Als de browser de status 'ingetrokken' krijgt, wordt de gebruiker gewaarschuwd om de communicatie van vertrouwelijke informatie met de server te blokkeren.

Hoe werkt OCSP Stapling?

Hieronder staan ​​de stappen die betrokken zijn bij de werking van OCSP:  

  • Uitgifte van certificaten

    Vóór de verbinding geeft de CA een certificaat uit met een OCSP-ondersteunende indicator. Dit laat onze browser weten dat OCSP gebruikt moet worden voor de intrekkingscontrole. Dit is ook een verplichte standaard, die vereist dat alle CA's een OCSP-service aanbieden en certificaten uitgeven die OCSP ondersteunen.

  • OCSP Responder-updates

    De CA publiceert de geldigheidsstatus van het certificaat naar een OCSP-responder. Deze server wordt beheerd door de CA en verwerkt alle OCSP-aanvragen. De CA werkt de OCSP-informatie voor elk uitgegeven certificaat, inclusief de ingetrokken certificaten, minstens elke vier dagen bij.

  • SSL-handdruk

    De SSL-handdruk Er vindt een verbinding plaats tussen de client en de server. Hiervoor zijn verschillende stappen nodig om de verbinding tot stand te brengen.

  • OCSP-antwoord ophalen

    De server haalt een antwoord op van de OCSP-responder. Dit antwoord bevat de geldigheid certificaat Informatie en kan een van de volgende drie statussen rapporteren: goed, ingetrokken of onbekend. De browser cachet dit antwoord nu maximaal tien dagen en vraagt ​​de respondent daarna opnieuw om een ​​antwoord.

  • Het OCSP-antwoord nieten

    De server "staples", d.w.z. hij koppelt het OCSP-antwoord aan het digitale certificaat en stuurt beide naar de browser. Dit is het belangrijkste verschil met standaard OCSP, waarbij de client verantwoordelijk is voor het rechtstreeks ontvangen van het OCSP-antwoord van de OCSP-responder, wat vertragingen en beveiligingsproblemen kan veroorzaken.

  • Het voltooien van de handdruk

    Vervolgens wordt de SSL-handshake voltooid en geeft het OCSP-antwoord de status 'goed' of 'ingetrokken' aan, afhankelijk van het certificaat.

  • Beveiligde verbinding tot stand gebracht

    Als alles in orde is, wordt de verbinding tot stand gebracht en kan de veilige communicatie beginnen.

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Certificaatreacties 

Hieronder staan ​​de mogelijke reacties met OCSP-nieten:  

  • Ingetrokken: Als een digitaal certificaat wordt ingetrokken, geeft de browser een waarschuwing. Deze reactie is een harde stop, omdat de browser de verbinding onmiddellijk verbreekt.
  • Goed: Een goede reactie is wanneer de OCSP-responder het serienummer van het certificaat herkent en vaststelt dat dit geldig is. 
  • Onbekend: Dit bericht wordt weergegeven als de OCSP-responder het certificaat niet herkent. Dit is het geval wanneer de responder toegang nodig heeft tot de CA die het betreffende certificaat heeft uitgegeven. Dit is een softstop, omdat de verbinding mogelijk wel of niet doorgaat.

Voor- en nadelen van OCSP-nieten 

Voordelen van OCSP-nieten

  • Verbeterde prestatie

    In tegenstelling tot de conventionele methode met Certificate Revocation Lists (CRL's), vertraagt ​​OCSP-stapling de browserprestaties niet. De server downloadt en cachet een kopie van de OCSP-respons van de OCSP-responder, waardoor de latentie voor de gebruiker wordt verminderd.

  • Snelheid en efficiëntie

    OCSP-stapling biedt verbeterde snelheid en prestaties bij het verifiëren van de intrekkingsstatus van een digitaal certificaat. Het kost minimale tijd om de status te verifiëren en een beveiligde verbinding tot stand te brengen.

  • Verbeterde privacy

    OCSP-stapling biedt gebruikers meer privacy dan traditionele OCSP-responderquery's. Omdat de CA of de OCSP-responder de door de client bezochte websites niet kan zien, is de privacy van de gebruiker beter beschermd.

  • Resource-optimalisatie

    OCSP-stapling verbruikt minder netwerkbronnen vergeleken met CRL of traditioneel OCSP, waardoor het een efficiëntere oplossing is.

Nadelen van OCSP-nieten

  • Afhankelijkheid van OCSP-responder

    Als de OCSP-responder om welke reden dan ook downtime ervaart, kunnen webservers de nieuwste OCSP-respons niet genereren. Dit creëert een single point of failure (SFP) en kan ertoe leiden dat browsers geen updates over de intrekking kunnen ontvangen.

  • Beperkingen bij certificaatverificatie

    OCSP-stapling biedt doorgaans geen verificatie voor tussenliggende certificaten in een certificaatketen. Nieuwere versies, zoals multi-stapling en TLS 1.3-ondersteuning, lossen deze beperking echter op.

  • Periodieke updates

    Er zit een tijdsverschil tussen OCSP-staplingreacties, waardoor de servers gedurende deze periode niet op de hoogte zijn van nieuwe intrekkingen. Als een certificaat gedurende deze tijd wordt ingetrokken, kunnen er verouderde reacties worden verstrekt. 

  • Privacybezorgdheden

    Tijdens het verificatieproces kan informatie lekken over de inhoud die een gebruiker bekijkt. Deze informatie kan worden gebruikt om het gedrag van de gebruiker te volgen en tot privacyproblemen leiden.

Hoe te controleren op OCSP-nieten

Zorg ervoor dat u Windows Server 2008 of hoger gebruikt. 

  • Windows Servers ouder dan 2008 ondersteunen standaard OCSP-stapling, terwijl versies ouder dan 2008 OCSP-stapling niet ondersteunen.
  • Als u een Windows-versie lager dan 2008 gebruikt, voer dan een upgrade uit naar 2008 of hoger om OCSP-stapling in te schakelen.

Stap 1: Ga naar SSL Labs van Qaulys. 

Stap 2: Vink het vakje 'Resultaten niet op de borden weergeven' aan. 

Stap 3: Voer de domeinnaam in die u wilt controleren en klik op Verzenden. 

Stap 4: Nadat de scan is voltooid, bekijkt u de 'Intrekkingsinformatie'. Deze sectie bevat CRL- en OCSP-gegevens. 

Stap 5: In de OCSP-nietrij: 

  • Als er "Ja" staat, is OCSP Stapling ingeschakeld. 
  • Als er ‘Nee’ staat, is OCSP Stapling uitgeschakeld. 

Dit helpt u de status van OCSP Stapling op uw website te verifiëren. Als u de melding 'Niet ondersteund' ziet, controleer dan dit. Microsoft-documentatie voor probleemoplossing.

Conclusie 

Concluderend is het intrekken van certificaten een essentieel onderdeel van veilige internetcommunicatie. Traditioneel was het aanpakken van intrekking een absolute uitdaging. Naarmate cyberdreigingen toenemen en het aantal apparaten groeit, vinden hackers nieuwe technieken om digitale certificaten te hacken.

Realtime validatie door OCSP is daarom belangrijker dan ooit. Door een digitaal ondertekend antwoord in de initiële handshake op te nemen, voorkomt de server dat clients de OCSP-responder van de CA hoeven te raadplegen. Dit vermindert latentie en mogelijke privacyproblemen, wat bijdraagt ​​aan realtime validatie. 

Hoewel geen enkele intrekkingsmethode perfect is, blijft OCSP Stapling zich ontwikkelen. Nieuwe standaarden zoals "must-staple" en "multi-stapling" verbeteren de beveiligingsnormen van OCSP. OCSP Stapling heeft dit proces echter aanzienlijk verbeterd door de rapportage van intrekkingen snel, efficiënt en kosteneffectief te maken. Dankzij de sectorbrede ondersteuning van OCSP kunnen alle digitale certificaten hiervan profiteren.

Hoe kan Encryption Consulting helpen?

Encryption Consulting biedt gespecialiseerde PKIaaS-oplossing met verhoogde schaalbaarheid en consistente ondersteuningsfuncties. Het is een beheerde oplossing met een laag risico die u volledige controle geeft over uw PKI zonder dat u zich zorgen hoeft te maken over de complexiteit van het systeem. Onze services omvatten configuratieondersteuning, PKI-monitoring en cloudgebaseerde PKI-service die de volledige levenscyclus van certificaten beheert en beveiliging, compliance en operationele efficiëntie levert. Met uitgebreide ervaring in het domein zorgen wij voor een succesvolle en veilige implementatie van OCSP stapling in uw organisatie, afgestemd op uw specifieke behoeften. Door samen te werken met Encryptie Consultingkunnen organisaties het volledige potentieel benutten en tastbare financiële voordelen realiseren, terwijl ze tegelijkertijd robuuste beveiligingsmaatregelen handhaven. 

Ontdek onze

Gerelateerde blogs

Cloud-PKI-Zonder-Controle-TeVerliezen

Neem de controle over cloud-PKI zonder de beveiliging in gevaar te brengen.

19 juni 2026
Certificaat Levenscyclusbeheer

Beperkingen van AWS Certificate Manager: Waar ACM tekortschiet voor Enterprise PKI

18 juni 2026
PKI

PKI-rampherstel: planning, procedures en failoverpatronen

12 juni 2026

Ontdek het hier

Meer onderwerpen