OCSP Stapling

For sikker brug af digitale certifikater er en omhyggelig kontrol af certifikatets gyldighed meget vigtigt. Denne validitetskontrol kan foretages ved hjælp af en Certificate Revocation List (CRL) eller Online Certificate Status Protokollen (OCSP).

Hvordan fungerer OCSP funktion?

OCSP viser de aktuelle statusoplysninger om et certifikats gyldighed. Hver gang en besøgendes browser opretter en sikker https-forbindelse til en hjemmeside, vil den kontrollere certifikatets gyldighed af nøglecenteret (certifikatudstederen). Dette er en standard og væsentlig del af opsætningen af SSL-forbindelsen; afhængigt af svaret fra nøglecenteret, vil forbindelsen blive etableret eller afvist.

Hvad er OCSP stapling?

Ved denne metode er webserveren mellemmand mellem klientbrowseren og nøglecenteret. Webserveren, hvor SSL-certifikatet er installeret, giver browseren det cachede OCSP-svar. Dette gør det unnødvendig for den besøgende browser at lave en separat forbindelse til nøglecenteret. OCSP-svaret er digitalt underskrevet og tidsstemplet af nøglecentere. Dermed er OCSP stapling en sikker og hurtig metode til at kontrollere gyldigheden.

OCSP Must-Staple og OCSP Expect-Staple

To nye funktioner blev tilføjet efter implementeringen af OCSP, der hedder Must-Staple og Expect-Staple. Selv om disse teknikker er nye og tilbøjelige til problemer, vil de sikre, at OCSP bliver kontrollen som bruges i stedet for CLR. Visse indstillinger kan "ødelægge" din Apache og Nginx konfiguration, så brug disse teknikker med forsigtighed. Must-Staple er en teknik, hvor webbrowseren er i stand til at vide helt sikker at et websted leverede OCSP stapling. På grund af dette kan browsere signalere fejlen, når der ikke findes OCSP stapling og forhindrer forbindelsen. Expect-Staple er en rapporteringsmekanisme, der hjælper webstedsejere med at spore fejl, som besøgende modtager. Med det kan webstedsejere se, om deres OSCP stapling implementering er lavet korrekt.

Hvordan aktiverer jeg OCSP stapling på min server?

I øjeblikket understøtter ikke alle servere og browsere OCSP stapling. Hvis din server understøtter OCSP stapling, anbefales det stærkt at aktivere denne funktion. Besøgende vil ikke bemærke, når de bruger en browser, der er kompatibel med OCSP stapling, fordi den vil bruge det, og ellers bruger den standard OCSP.

Server support

  • Nginx 1.3.7+
  • Windows Server 2008
  • IIS 7.5 +
  • Apache 2.4 +

Browser support

  • Firefox version 26 eller senere
  • Chrome 12+ under Windows, Linux og ChromeOS
  • Internet Explorer 9+ fra Vista
  • Opera v11+

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.