OCSP-häftning och certifikatlivslängder

Det var en fredagseftermiddag när samtalet kom in. En stor kund inom finansiella tjänster som vi hade stöttat i över ett år hade sporadiska upplevda problem. TLS handslag fel på flera av deras kritiska kundportaler. Inga ändringar hade gjorts i deras infrastruktur. Certifikaten var giltiga, servrarna var felfria, och ändå såg tusentals klienter intermittent säkerhetsvarningar. Deras team hade problem, men problemet var inte lokalt. Det var externt. 

Så vem var boven? 
En regional OCSP-responder (Online Certificate Status Protocol) som drivs av deras certifikatutfärdare drabbades av ett DDoS-scenario. 

Den här krisen är som en fasa vi ser alltför många gånger. Och i dagens allt stramare värld med krympande livslängder för certifikat blir det alltför vanligt. 

Världen förändras, det bör även din certifikatstrategi göra

På Encryption Consulting har vi arbetat med organisationer inom olika branscher – banker, hälsovårdsnätverk, energileverantörer, federala myndigheter, och en trend återkommer gång på gång: Certifikatens livslängd blir kortare; den operativa pressen blir högre. 

Sedan slutet av 2023, med Googles strävan att minska publika TLS-certifikat till 90 dagar, har vi hjälpt många företag att ompröva hur de närmar sig certifikatlivscykelhantering (CLM)Kortare livslängder minskar risken för kompromettering om en privat nyckel exponeras, men de förstärker operativ friktion. 

• Förnyelser blir kvartalsvisa händelser, inte årliga. 
• Automatiserade utgivningspipelines måste vara skottsäkra. 
• Kontroll av återkallelsestatus går från att vara en hygienuppgift på kontoret till en riskfaktor i frontlinjen. 

Det är här OCSP-häftning blir tyst en av de mest underskattade, men ändå viktiga, delarna av modern PKI-arkitektur. 

OCSP-problemen som organisationer ofta missar  

Låt oss ta ett steg tillbaka och titta på en översikt över certifikatens livscykel. Varje certifikat som din organisation utfärdar kommer med en kvarstående fråga varje gång det används: 
"Är detta certifikat fortfarande giltigt?" 

OCSP introducerades för att besvara den frågan i realtid. Varje gång en klient initierar en säker anslutning kontaktar den CA:s OCSP-server för att bekräfta att certifikatet inte har återkallats. På pappret låter detta robust. 

Men i praktiken, som vi sett alltför många gånger: 

• Om CA:s OCSP-server är långsam eller nere, upplever dina kunder förseningar eller rena fel. 
• Varje OCSP-fråga avslöjar klientmetadata för externa servrar, vilket utlöser sekretessflaggor under HIPAA, GDPR, och andra. 
• Allt eftersom certifikatförnyelsefrekvensen ökar (tack vare kortare livslängder) skalas OCSP-trafiken exponentiellt. 

För en global e-handelsplattform som vi nyligen stödde, ökade övergången till 90-dagars certifikat deras OCSP-frågevolym med nästan 400 % över en natt. Utan en strategi för att minska riskerna skulle deras CDN-kostnader och handskakningstider ha skjutit i höjden. 

OCSP-häftning ger dig kontrollen tillbaka

Därför rekommenderar vi konsekvent OCSP-häftning som ett första försvar. 

Med häftning: 

• Servern tar över. Den hämtar regelbundet OCSP-svaret direkt från CA:n och "häftar" det i varje TLS-handskakning. 
• Kunden behöver inte längre fråga efter CA direkt. Allt som behövs för att verifiera återkallningsstatus presenteras redan under handskakningen. 
• Förbättrad integritet. Inget mer avslöjande av surfbeteende för tredjeparts OCSP-svarare. 
• Prestandan förbättras. Ingen mer väntan på att externa OCSP-servrar ska svara. 

Det låter enkelt, och tekniskt sett är det det. Men att operationalisera detta över olika infrastrukturer är där de flesta organisationer snubblar. Det är där vårt verkliga arbete börjar. 

En vårdklients verklighetskontroll 

Ett av de mest upplysande exemplen kom från vårt arbete med en vårdklient förra året. Som en del av HIPAA-revisioner flaggade tillsynsmyndigheter en oväntad risk: patienter som åtkom till sin portal från personliga enheter avslöjade oavsiktligt sessionsmetadata till externa OCSP-servrar. 

Revisionsresultaten var tydliga: 
Även till synes ofarliga OCSP-frågor räknades som onödig tredjepartsexponering av skyddad hälsoinformation (PHI). 

I samarbete med deras säkerhets-, efterlevnads- och infrastrukturteam utformade vi en stegvis utrullning av OCSP-häftning över hela deras webbanpassade infrastruktur. Resultatet: 

• OCSP-trafiken minskade med 96 %. 
• TLS-handskakningar blev mer motståndskraftiga. 
• Revisionsflaggor har tagits bort. 
• Risker för integritetsexponering stängdes. 

Det som började som ett mindre granskningsresultat blev snabbt en viktig förbättringshistoria inom intern säkerhet. Och ärligt talat blir dessa händelser allt vanligare för varje kvartal. 

Senaste efterlevnadsföreskrifterna från 2025 som du behöver vara medveten om

Vi verkar inte i ett vakuum. Här är verkligheten som IT-chefer och IT-chefer står inför idag: 

• PCI DSS 4.0 kräver strängare kontroller för återkallelse och certifikathantering. 
• HIPAA-revisioner granskar i allt högre grad även indirekta dataexponeringar som externa OCSP-anrop. 
• EU:s NIS2-direktiv och finanssektorfokuserade DORA 2025 införa strängare straff för driftstörningar, vilket gör beroendet av ömtålig OCSP-infrastruktur till en regleringsskyldighet. 
• Googles förändring av 90-dagars certifikatpolicy, som redan påverkar branschens beteende, är bara toppen av isberget. Kortare livslängder blir de facto även för privata PKI. 

I den här miljön är OCSP-häftning inte en "optimering". Det är en riskhanteringskontroll. 

Hur krypteringskonsulttjänster tar din säkerhet långt bortom att bara häfta 

När vi samarbetar med organisationer gällande certifikathantering är OCSP-häftning sällan ett fristående projekt. Det passar in i en större moderniseringsresa som vanligtvis inkluderar: 

• Implementera helautomatiserade pipelines för certifikatutfärdande 
• Utforma högtillgängliga interna OCSP-responderarkitekturer (för privata PKI) 
• Förstärka infrastrukturen för återkallelse mot DDoS och risker för tjänsteavbrott 
• Integrera CLM-övervakning i realtid i dashboards för säkerhetsoperationer 
• Anpassa arkitekturen till båda Nollförtroende modeller och förväntningar på efterlevnadsrevision 

Det som är mest givande för oss, som betrodda experter inom tillämpad kryptografi, är att omvandla våra kunders certifikathantering från en ömtålig, reaktiv börda till en motståndskraftig, automatiserad förtroendeinfrastruktur som i tysthet driver deras säkerhet, efterlevnad och affärskontinuitet, oavsett hur komplex miljön blir.  

Slutsats 

Certifikathantering handlar i grunden om förtroende. Och förtroendet bryts ner snabbast när återkallningskontroll blir en felpunkt. 

OCSP Häftning gör inte bara saker snabbare. Det ger dig tillbaka kontrollen över prestanda, integritet, efterlevnad och drifttid. 

Från och med juni 2025, där certifikat är giltiga i 90 dagar men återkallningsstatus måste valideras i realtid, är kontroll din största tillgång. 

Om din organisation ännu inte häftar certifikat, eller ännu värre, inte vet vem som är ansvarig för återkallande driften, kan du vara ett OCSP-avbrott ifrån din nästa incident.  

På Encryption Consulting ger vi inte bara råd om dina säkerhetsförbättringar. Vi hjälper dig att bygga, automatisera och stärka ditt certifikatekosystem, från början till slut. Vi har hjälpt dussintals organisationer att undvika det beslutet. Om den här säkerhetsutmaningen resonerar med dig, låt oss prata.