Jeśli klient nie otrzyma zszytej odpowiedzi, po prostu sam skontaktuje się z serwerem OCSP … W rezultacie klienci nadal mają weryfikowalne zapewnienie od urzędu certyfikacji, że certyfikat jest obecnie ważny (lub był całkiem niedawno), ale nie trzeba już indywidualnie kontaktować się z serwerem OCSP.
Czy wymagane jest zszywanie OCSP?
OCSP must-staple
Atakujący z unieważnionym certyfikatem może po prostu zaniedbać dostarczenia odpowiedzi OCSP, gdy przeglądarka się z nią połączy, a przeglądarka zaakceptuje ich cofnięty certyfikat. W przypadku pobierania OCSP podejście soft-fail ma sens.
Skąd wiesz, czy Twój protokół OCSP został zszyty?
Sprawdź, czy zszywanie OCSP jest włączone.
Przejdź do https://www.digicert.com/help iw polu Adres serwera wpisz adres swojego serwera (np. www.digicert.com). Jeśli zszywanie OCSP jest włączone, pod certyfikatem SSL nie został odwołany, po prawej stronie zszywki OCSP jest napisane Good.
Jak włączyć zszywanie OCSP?
Skonfiguruj serwer Apache do korzystania ze zszywania OCSP
- Edytuj konfigurację SSL VirtualHost swojej witryny. Dodaj następujący wiersz WEWNĄTRZ bloku: SSLUseStapling on. …
- Sprawdź konfigurację pod kątem błędów w usłudze Apache Control. Apachectl -t.
- Załaduj ponownie usługę Apache. usługa Apache2 reload.
Jak działa zszywanie OCSP?
Jak działa zszywanie OCSP. Zszywanie OCSP to wydajniejszy sposób obsługi weryfikacji informacji o certyfikacie. … Gdy użytkownik próbuje odwiedzić witrynę, odpowiedź z cyfrowym znacznikiem czasu jest następnie „zszywana” z uzgadnianiem TLS/SSL za pośrednictwem odpowiedzi rozszerzenia żądania stanu certyfikatu.
