28 янв. 2025 г.

Сшивание OCSP

Обзор 

Общие сведения: CRL И OCSP 

CRL расшифровывается как Certificate Revocation List; он предоставляет средства для проверки статуса отзыва сертификата, установленного на веб-сайте или используемого для цифровой подписи документа. CRL представляют собой двоичные файлы, содержащие серийные номера отозванных сертификатов и, в некоторых случаях, причину отзыва. Каждый раз, когда выполняется проверка отзыва, клиентским приложениям требуется CRL от ЦС-эмитента. В некоторых случаях он может быть кэширован по результатам недавних проверок, но обычно CRL нужно загружать полностью и искать. Со временем CRL растут, поскольку количество отозванных сертификатов увеличивается, что приводит к появлению больших CRL и увеличению задержки во время рукопожатия TLS. 

ПротоколOCSP или Online Certificate Status Protocol решает некоторые проблемы производительности и масштабируемости, присущие СОС. Вместо того чтобы каждый раз загружать полный список отзыва, сервер OCSP можно запросить, как базу данных, для получения конкретной записи о сертификате. Ответ OCSP подписывается центром сертификации и содержит статус сертификата. 

Сшивание OCSP 

При использовании OCSP Stapling ответ OCSP для сертификата предварительно подбирается сервером и доставляется клиенту во время рукопожатия TLS. Ответ «сшивается» в рамках рукопожатия TLS. Все ответы OCSP имеют цифровую подпись центра сертификации и обновляются через регулярные промежутки времени. Этот сценарий более благоприятен для обеспечения конфиденциальности и производительности, поскольку клиенту не нужно обращаться к третьей стороне для проверки статуса отзыва. Вся необходимая информация предоставляется сервером. 

Реализация 

OCSP Stapling можно включить на различных серверах, включая IIS, Apache и NGINX. Используйте ссылки ниже для получения инструкций по включению OCSP Stapling в Apache и NGINX. Используйте строку поиска, чтобы найти дополнительные статьи по OCSP Stapling. 

• Apache - Включить OCSP Stapling 

• NGINX - включение OCSP Stapling