SSL-certifikat är en viktig del av säker internetkommunikation, eftersom de hjälper webbläsare och användare att säkerställa att webbplatserna de interagerar med är legitima. Du kan tänka på dessa digitala certifikat som digitala ID:n som verifierar en webbplats identitet och legitimitet.
När vi ansluter till en webbplats via en HTTPS anslutningen kontrollerar vår webbläsare det digitala ID:t (certifikatet) med en betrodd källa och utför därmed dessa uppgifter i backend-systemet. Hela processen, särskilt verifieringen av certifikatets signatur, hjälper webbläsaren att verifiera om vi är på en riktig server eller en falsk.
Det finns dock vissa situationer där en signatur inte kan litas på. I dessa fall används en mekanism som kallas Återkallande spelar roll. Återkallelse gör det möjligt för webbläsare att veta när ett certifikat inte längre är säkert att använda. Detta kan bero på serverkomproret, manuella mänskliga fel eller andra säkerhetsproblem.
Återkallelse av certifikat är en process genom vilken en Certifieringsmyndighet ogiltigförklarar ett SSL-certifikat. När ett certifikat har återkallats kan det inte användas för att skapa en säker anslutning. Användare meddelas också om återkallningslistan för att hantera eventuella säkerhetsrisker.
Men varför skulle en CA återkalla ett certifikat? Den vanligaste anledningen till detta är att användaren/enheten som innehar det digitalt certifikat begär att certifikatet återkallas. En annan anledning är att certifikatutfärdaren inser att den har utfärdat certifikatet felaktigt. Det gemensamma för båda scenarierna är att det är avgörande att återkalla certifikatet för att förhindra säkerhetsbrister som lätt kan utnyttjas.
Det viktigaste att notera här är att det inte räcker med att bara återkalla certifikatet; detta måste också kommuniceras till slutanvändaren. Det är här OCSP häftning kommer in i bilden.
Vad är OCSP häftning?
OCSP-häftning (Online Certificate Status Protocol) är en internetstandard som används för att verifiera återkallningsstatusen för X.509 certifikatDenna process innebar att statusförfrågningar regelbundet skickades till certifieringsutfärdaren (CA) och sedan skickades svaret till webbläsaren för verifiering. När en klient vill ansluta till servern presenteras ett svar som validerar återkallningsstatusen.
Denna metod säkerställer att webbläsaren snabbt kan verifiera om certifikatet är giltigt eller återkallat utan att kontakta CA direkt. Om webbläsaren får statusen "återkallad" varnar den användaren att förhindra kommunikation av konfidentiell information med servern.
Hur fungerar OCSP-häftning?
Följande är stegen som ingår i arbetet med OCSP:
-
Utfärdande av certifikat
Innan anslutningen utfärdar CA ett certifikat som inkluderar en indikator som stöder OCSP. Detta låter vår webbläsare veta att den ska använda OCSP för återkallningskontroll. Detta är också en obligatorisk standard som kräver att alla CA:er tillhandahåller en OCSP-tjänst och utfärdar certifikat som stöder OCSP.
-
OCSP-svarsuppdateringar
CA publicerar certifikatets giltighetsstatus till en OCSP-responder. Denna server drivs av CA och hanterar alla OCSP-förfrågningar. CA uppdaterar OCSP-informationen för varje certifikat den har utfärdat, inklusive de återkallade, minst var fjärde dag.
-
SSL-handskakning
Ocuco-landskapet SSL-handskakning mellan klienten och servern sker, vilket involverar flera steg för att upprätta anslutningen.
-
Hämtar OCSP-svar
Servern hämtar ett svar från OCSP-respondern. Detta svar innehåller certifikatets giltighetstid information och kan rapportera någon av följande tre statusar: bra, återkallad eller okänd. Nu cachar webbläsaren detta svar i upp till tio dagar och anropar sedan svararen igen för ett svar.
-
Häfta OCSP-svaret
Servern "häftar", dvs. bifogar OCSP-svaret till det digitala certifikatet och skickar båda till webbläsaren. Detta är den viktigaste skillnaden från vanlig OCSP, där klienten ansvarar för att hämta OCSP-svaret direkt från OCSP-respondern, vilket kan orsaka förseningar och säkerhetsproblem.
-
Slutföra handskakningen
Sedan slutförs SSL-handskakningen och OCSP-svaret indikerar statusen "bra" eller "återkallad" baserat på certifikatet.
-
Säker anslutning upprättad
Om allt stämmer är anslutningen upprättad och säker kommunikation börjar.
Certifikatsvar
Följande är möjliga svar med OCSP-häftning:
- Återkallad: Om ett digitalt certifikat återkallas visar webbläsaren en varning. Detta svar är ett hårt stopp eftersom webbläsaren omedelbart avbryter anslutningen.
- Bra: Ett bra svar är när OCSP-svararen känner igen certifikatets serienummer och finner att det är giltigt.
- Okänd: Det här meddelandet visas om OCSP-svararen inte känner igen certifikatet. Detta är fallet när svararen behöver åtkomst till den certifikatutfärdare som utfärdade certifikatet i fråga. Detta är ett mjukt stopp eftersom det kan (eller inte kan) tillåta att anslutningen går igenom.
Fördelar och nackdelar med OCSP-häftning
Fördelar med OCSP-häftning
-
Förbättrad prestanda
Till skillnad från den konventionella metoden med återkallningslistor för certifikat (CRL) saktar inte OCSP-häftning ner surfprestandan. Servern laddar ner och cachar en kopia av OCSP-svaret från OCSP-respondern, vilket minskar latensen för användaren.
-
Hastighet och effektivitet
OCSP-häftning erbjuder förbättrad hastighet och prestanda vid verifiering av återkallningsstatus för ett digitalt certifikat. Det tar minimal tid att verifiera statusen och upprätta en säker anslutning.
-
Förbättrad sekretess
OCSP-häftning ger användarna bättre integritet än traditionella OCSP-svarsfrågor. Eftersom CA:n eller OCSP-svararen inte kan se vilka webbplatser klienten besöker, skyddas användarnas integritet bättre.
-
Resursoptimering
OCSP-häftning förbrukar färre nätverksresurser jämfört med CRL eller traditionell OCSP, vilket gör det till en mer effektiv lösning.
Nackdelar med OCSP-häftning
-
Beroende av OCSP-responder
Om OCSP-svaret av någon anledning upplever driftstopp kommer webbservrarna inte att kunna generera det senaste OCSP-svaret. Detta skapar en enda felpunkt och kan leda till att webbläsare inte kan uppdatera om återkallelsen.
-
Begränsningar i certifikatverifiering
OCSP-häftning verifierar vanligtvis inte mellanliggande certifikat i en certifikatkedja. Nyare versioner som multihäftning och stöd för TLS 1.3 löser dock denna begränsning.
-
Periodiska uppdateringar
Det finns ett tidsgap mellan OCSP-häftningssvar, vilket gör att servrarna inte är medvetna om nya återkallelser under denna period. Om ett certifikat återkallas under denna tid kan föråldrade svar tillhandahållas.
-
Personliga problem
Verifieringsprocessen kan läcka information om det innehåll en användare har åtkomst till, vilket kan användas för att spåra användarbeteenden och orsaka integritetsproblem.
Hur man kontrollerar OCSP-häftning
Se till att du använder Windows Server 2008 eller senare.
- Windows Server efter 2008 stöder OCSP-häftning som standard medan versioner under 2008 inte stöder OCSP-häftning.
- Om du använder en Windows-version äldre än 2008, uppgradera till 2008 eller senare för att aktivera OCSP-häftning.
Steg 1: Gå till SSL Labs av Qaulys.
Steg 2: Markera rutan "Visa inte resultaten på tavlorna".
Steg 3: Ange domännamnet du vill kontrollera och klicka på Skicka.
steg 4När skanningen är klar. Granska "Återkallningsinformation". Det här avsnittet innehåller information om CRL och OCSP.
steg 5I raden OCSP-häftning:
- Om det står "Ja" är OCSP-häftning aktiverad.
- Om det står ”Nej” är OCSP-häftning inaktiverad.
Detta hjälper dig att verifiera statusen för OCSP-häftning på din webbplats. Om du ser meddelandet "Stöds inte", kontrollera detta. Microsoft-dokumentation för felsökning.
Slutsats
Sammanfattningsvis är återkallelse av certifikat en viktig del av säker internetkommunikation. Traditionellt sett var det en absolut utmaning att hantera återkallelse. I takt med att cyberhoten ökar i takt med det växande antalet enheter hittar hackare nya tekniker för att kompromettera digitala certifikat.
Därför är realtidsvalidering som tillhandahålls av OCSP viktigare än någonsin. Genom att inkludera ett digitalt signerat svar i den första handskakningen undviker servern behovet av att klienter frågar CA:s OCSP-responder, vilket minskar latens och potentiella integritetsproblem och därmed underlättar realtidsvalidering.
Även om ingen återkallelsemetod är perfekt, fortsätter OCSP Stapling att utvecklas. Nya standarder som "must-staple" och "multi-stapling" förbättrar OCSP:s säkerhetsstandarder. OCSP Stapling har dock avsevärt förbättrat denna process genom att göra återkallelserapportering snabb, effektiv och kostnadseffektiv. Med branschomfattande stöd för OCSP kan alla digitala certifikat dra nytta av detta.
Hur kan krypteringskonsulting hjälpa till?
Krypteringskonsulttjänster erbjuder specialiserad PKIaaS-lösning med ökad skalbarhet och konsekventa supportfunktioner. Det är en hanterad lösning med låg risk som ger dig fullständig kontroll över din PKI utan att behöva oroa dig för systemets komplexitet. Våra tjänster inkluderar konfigurationssupport, PKI-övervakning och molnbaserad PKI-tjänst som hanterar hela livscykeln för certifikat, levererar säkerhet, efterlevnad och operativ effektivitet. Med omfattande erfarenhet inom området säkerställer vi en framgångsrik och säker implementering av OCSP-häftning i din organisation, skräddarsydd för dina specifika behov. Genom att samarbeta med Krypteringskonsulting, kan organisationer frigöra den fulla potentialen och realisera konkreta ekonomiska fördelar samtidigt som de upprätthåller robusta säkerhetsåtgärder.
