OCSP Stapling
9 июл. 2025 г.
OCSP Stapling
Обзор
Общие сведения: CRL И OCSP
CRL (Certificate Revocation List) — это список отозванных сертификатов, который позволяет проверять статус отзыва сертификата, установленного на веб-сайте или используемого для цифровой подписи документа. CRL представляют собой бинарные файлы, содержащие серийные номера отозванных сертификатов, а в некоторых случаях и причину отзыва. Каждый раз, когда выполняется проверка отзыва, клиентские приложения нуждаются в CRL от выпускающего удостоверяющего центра (УЦ). В некоторых случаях этот список может быть кэширован после недавних проверок, но обычно CRL нужно загружать целиком и искать в нем нужные данные. Со временем CRL растет по мере того, как отзываются сертификаты, что приводит к увеличению размера CRL и задержке во время TLS-рукопожатия.
OCSP (Online Certificate Status Protocol) решает некоторые проблемы с производительностью и масштабируемостью, присущие CRL. Вместо того чтобы каждый раз загружать полный список отозванных сертификатов, можно запросить OCSP-сервер, как базу данных, для получения конкретной записи о сертификате. Ответ OCSP подписан удостоверяющим центром и содержит статус сертификата.
OCSP Stapling
При использовании OCSP Stapling ответ OCSP для сертификата предварительно подбирается сервером и доставляется клиенту во время TLS-рукопожатия. Ответ «сшивается» в рамках TLS -рукопожатия. Все ответы OCSP имеют цифровую подпись удостоверяющего центра и обновляются через регулярные промежутки времени. Этот сценарий более благоприятен для обеспечения конфиденциальности и производительности, поскольку клиенту не нужно обращаться к третьей стороне для проверки статуса отзыва. Вся необходимая информация предоставляется сервером.
Реализация
OCSP Stapling можно включить на различных серверах, включая IIS, Apache и NGINX. Используйте ссылки ниже для получения инструкций по включению OCSP Stapling в Apache и NGINX. Используйте строку поиска, чтобы найти дополнительные статьи по OCSP Stapling.
Инструмент инвентаризации сертификатов (CIT)
Сканируйте конечные точки, чтобы найти все ваши сертификаты.
Войти / ЗарегистрироватьсяТест конфигурации SSL
Проверьте установку сертификата на наличие проблем и уязвимостей SSL.