Erhält der Client keine gestapelte Antwort, kontaktiert er einfach den OCSP-Server von selbst … Infolgedessen haben Clients weiterhin eine überprüfbare Zusicherung von der Zertifizierungsstelle, dass dies der Fall ist Das Zertifikat ist derzeit gültig (oder war vor kurzem gültig), muss aber den OCSP-Server nicht mehr einzeln kontaktieren.
Ist OCSP-Heften erforderlich?
OCSP Must-Staple
Ein Angreifer mit einem widerrufenen Zertifikat kann es einfach versäumen, eine OCSP-Antwort bereitzustellen, wenn ein Browser eine Verbindung herstellt und der Browser ihre akzeptiert widerrufenes Zertifikat. Im OCSP-Fetching-Fall ist ein Soft-Fail-Ansatz sinnvoll.
Woher wissen Sie, ob Ihr OCSP geheftet wurde?
Überprüfen Sie, ob OCSP-Heften aktiviert ist.
Gehen Sie zu https://www.digicert.com/help und geben Sie in das Feld Serveradresse Ihre Serveradresse ein (z. B. www.digicert.com). Wenn OCSP-Heften aktiviert ist, steht unter SSL-Zertifikat wurde nicht widerrufen rechts neben OCSP-Heften Gut.
Wie aktiviere ich OCSP-Heften?
Konfigurieren Sie Ihren Apache-Server für die Verwendung von OCSP Stapling
- Bearbeiten Sie die VirtualHost-SSL-Konfiguration Ihrer Website. Fügen Sie die folgende Zeile INNERHALB des Blocks hinzu: SSLUseStapling on. …
- Überprüfen Sie die Konfiguration mit dem Apache Control-Dienst auf Fehler. Apachectl -t.
- Apache-Dienst neu laden. Service Apache2 neu laden.
Wie funktioniert OCSP-Heften?
So funktioniert OCSP-Heften. OCSP-Heften ist eine effizientere Methode, um die Überprüfung von Zertifikatsinformationen zu handhaben. … Wenn ein Benutzer versucht, die Website zu besuchen, wird die digital mit einem Zeitstempel versehene Antwort dann mit dem TLS/SSL-Handshake über die Erweiterungsantwort der Zertifikatsstatusanforderung "geheftet ".
