5 de dez. de 2021
Visão Geral
Revisão: CRL & OCSP
CRL significa Lista de revogação de certificados; fornece os meios para verificar o status de revogação de um certificado instalado em um site ou usado para assinar digitalmente um documento. As CRLs são arquivos binários que contêm os números de série dos certificados revogados e, em alguns casos, um motivo de revogação. Sempre que uma verificação de revogação é realizada, os aplicativos do cliente precisam da CRL emitido pela Autoridade Certificadora.
Em alguns casos, isso pode ser armazenado em cache em verificações recentes, mas geralmente a CRL deve ser baixada na íntegra e pesquisada. Com o tempo, as CRLs aumentam à medida que o número de certificados é revogado e isso resulta em grandes CRLs e maior latência durante o handshake TLS.
OCSP ou o Online Certificate Status Protocol aborda alguns dos problemas de desempenho e escalabilidade inerentes às CRLs. Em vez de ter que baixar uma lista completa de revogação a cada vez, o servidor OCSP pode ser consultado como um banco de dados para uma entrada de certificado específica. A resposta do OCSP é assinada pela CA e contém um status para o certificado.
OCSP Stapling
Com o OCSP Stapling, a resposta do OCSP para um certificado é pré-buscada pelo servidor e entregue ao cliente durante o handshake TLS. A resposta é "grampeada" dentro do TLS Handshake. Todas as respostas do OCSP são assinadas digitalmente por uma autoridade de certificação e atualizadas regularmente. Esse cenário é mais propício à privacidade e ao desempenho, pois não é necessário que o cliente entre em contato com terceiros para verificar o status da revogação. Todas as informações necessárias são fornecidas pelo servidor.
Execução
O OCSP Stapling pode ser ativado em vários servidores, incluindo IIS, Apache e NGINX. Use os links abaixo para obter instruções sobre como ativar o OCSP Stapling no Apache e NGINX. Use a barra de pesquisa para encontrar artigos adicionais sobre o OCSP Stapling.
Faça a varredura de seus terminais para localizar todos os seus certificados.
Inscrever-seVerifique a instalação do seu certificado quanto a problemas e vulnerabilidades de SSL.