Spørsmål:
Hvilke nettlesere støtter OCSP-stifting? Er personvern- og ytelsesfunksjonene de samme?
goodguys_activate
2012-03-15 05:13:07 UTC
view on stackexchange narkive permalink

OCSP-stifting reduserer belastningen på en PKI-infrastrukturs OCSP-server ved å feste et signert OCSP-svar til målet i en TLS-forbindelse. I tillegg skaper det en mer sikker / privat økt siden CA ikke vet at nettleseren din har tilgang til et gitt nettsted. Noen mennesker har sammenlignet denne oppførselen med Kerberos.

Spørsmål

  • Hvilke nettlesere støtter OCSP-stifting?

  • Er det noen implementeringshensyn blant forskjellige nettlesere som må adresseres for å opprettholde ensartede fordeler med hensyn til personvern og ytelse?

Som et notat - i en vanlig SSL-økt vet ikke CA at nettleseren har tilgang til nettstedet. Det er ingenting i SSL-protokollen som innebærer at nettleseren snakker med CA uansett. Det er heller ikke nødvendig med OCSP. Jeg vil faktisk ikke kalle det "sikrere" ettersom noen systemer ser på å ha et nytt OCSP-svar laget for deg som bedre sikkerhetsimplementering.
@bethlakshmi SSL har dette tilbakekallingsproblemet. CRL-er blir lenger og lenger. OCSP er en løsning for det, men det har problemet med personvern (og soft fail). Begge kan løses med OCSP-stabling (og må stiftes ut).
@bethlakshmi Jeg er ny på dette, men krever ikke SSL at nettlesere pinger tilbakekallingslistene fra CA?
Nei det gjør det ikke.I SSL / TLS-håndtrykket må serveren oppgi legitimasjon, og typen akseptabel legitimasjon kan spesifiseres av klienten, men legitimasjonen kreves ikke for å være et PKI-sertifikat, og det kreves heller ikke av klienten for å verifisere legitimasjonen via CRL ellerOCSP.De fleste nettlesere implementerer en pålitelig sertifiseringsbutikk, sjekk at sertifikatet ikke er utløpt, og sjekk at sertifikatet inkluderer vertsnavnet til den målrettede URL-forespørselen.De fleste kommersielle nettlesere i dag sjekker ikke status med mindre det er angitt et plugin-program eller annet tillegg.
Fire svar:
D.W.
2012-03-15 22:40:36 UTC
view on stackexchange narkive permalink

Mitt inntrykk er at OCSP-stifting ikke støttes godt på klientsiden, men det er mulig at informasjonen min kan være utdatert.

Firefox støtter tilsynelatende OCSP-stifting, da av Firefox 26. (Takk til Jan Schejbal for denne informasjonen.)

Chrome støtter OCSP-stifting på Windows, Linux og ChromeOS. (Takk til Kit Sunde for denne informasjonen.) (Chrome-teamet har bestemt at de planlegger å fjerne CRL og regelmessige OCSP-kontroller, men de har ikke deaktivert OCSP-stifting. )

Jeg har lest en rapport om at de fleste nettlesere støtter OCSP-stifting på Windows.

Her er litt mer informasjon om nettleserstøtte for OCSP (men ikke OCSP-stifting, dessverre).

Firefox 26 inkluderer nå OCSP-stiftestøtte i henhold til en kunngjøring på mozilla.dev.security.policy.
Takk, @JanSchejbal! Jeg har oppdatert svaret deretter. Jeg setter pris på det.
Chrome har ikke deaktivert OCSP-stifting. Bare CRL og vanlige OCSP-kontroller. https://code.google.com/p/chromium/issues/detail?id=361230#c8
Takk, @KitSunde, for rettelsen! Jeg har oppdatert svaret tilsvarende - mange takk.
Hva mener de med "" men en angriper nær serveren kan få sertifikater utstedt fra mange CAer og distribuere forskjellige sertifikater etter behov. "" I bloggen?
Jaromir Kuba
2012-09-14 16:48:12 UTC
view on stackexchange narkive permalink

Du kan teste støtte for OCSP-stifting i nettleseren din på http://www.vpnhosting.cz/ocsp.

Det er på tsjekkisk språk hvis du kan se OCSP_stapling_deaktivert , OCSP-stifting er deaktivert, OCSP_stapling_enabled betyr at OCSP-stifting fungerer.

ser ut som Opera 12.01 på Linux støtter det, fint
Ryan Hurst
2012-05-01 22:11:29 UTC
view on stackexchange narkive permalink

IE har støttet det siden Vista, Chrome støtter det på Windows via CryptoAPI og på andre plattformer via oppdateringer til NSS det gjorde at Firefox ikke har godtatt, Opera har også støttet det i flere år. Firefox har den verste tilbakekallingsoppførselen til en hvilken som helst nettleser på flere fronter, fordi den manglende støtten til OCSP-stifting er det minste eksemplet. Chrome vil også fortsette å støtte OCSP og OCSP stifting i bedriftsscenarier. De har gitt sin egen tilbakekallingsmekanisme av flere årsaker.

Noen kilder til det?
Se på tabellen for nettleserstøtte på denne siden http://news.netcraft.com/archives/2013/07/19/microsoft-achieves-world-domination-in-ocsp-stapling.html
Forresten støttes den i Firefox Development-grenen (https://blog.mozilla.org/security/2013/07/29/ocsp-stapling-in-firefox/)
goodguys_activate
2012-06-02 10:06:30 UTC
view on stackexchange narkive permalink

Selv med OCSP-stifting kan verifiseringen av OCSP-signaturen eksponere personlig informasjon for OCSP-signeringsroten. I tillegg kan OCSP-sangroten være en tredjepart til hele infrastrukturen som vist her:

PKI hierarchy with two roots

kilde

Selv om det er sikkerhetsfordeler ved å validere OCSP-signaturen for signering, deaktiverer følgende utvidelse signaturfunksjonaliteten szOID_PKIX_OCSP_NOCHECK (1.3.6.1.5.5.7.48.1.5) hvis personvernet oppveier sikkerhet CA for å implementere denne utvidelsen)

Hvis du vil bruke CRL i stedet for OCSP, kan du sette følgende innstilling til 1 eller null på en Windows-maskin 

  HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ SystemCertificates \ ChainEngine \ Config \ CryptnetCachedOcspSwitchToCrlCount
Er dette ikke tilfelle bare når du vil kontrollere gyldigheten til mellomliggende CA-sertifikater i OCSP-responder-sertifikat * og * OCSP-stiftesvaret ikke har dem allerede? Med andre ord, det er et sikkerhetshull, men mye mindre enn å ikke sjekke tilbakekalling i det hele tatt?


Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 3.0-lisensen den distribueres under.
Loading...