Certificatele SSL pot securiza perfect datele sensibile si pot oferi criptarea datelor clientilor dvs. online. Din pacate, atunci cand apar probleme legate de un certificat SSL vor duce la complicatii ca urmare a nefunctionarii corecte a websitului. Browserele vor marca websitul dvs. ca fiind Not Secure, veti pierde vizitatori si pentru a inrautati lucrurile, infractorii cibernetici pot derula atacuri de tip Man-In-The-Middle (atunci cand o entitate externa intercepteaza o comunicare intre doua sisteme si prin care se incearca sustragerea datelor personale ale clientilor dvs.)
Un certificat SSL valid semnat de o Autoritate de Certificare de incredere este astazi obligatorie pentru toate site-urile web. Daca certificatul dvs. a expirat sau a fost revocat, veti pierde increderea din partea browserelor. Browserele utilizeaza Online Certificate Status Protocol (OCSP sau Protocol pentru starea certificatelor online) pentru a determina valabilitatea certificatului dvs. SSL.
Probleme OCSP Stapling si necesitatea unei solutii
Cand accesati un site web HTTPS, browserul dvs. verifica starea certificatului dvs. digital. Pentru a confirma ca certificatul dvs. este inca valabil, browserul utilizeaza OCSP pentru a contacta emitentul sau, adica Autoritatea de Certificare. Deoarece Autoritatea de Certificare este singura entitate care detine informatii cruciale despre certificatul SSL, trebuie sa raspunda la un numar mare de solicitari OCSP in timp real, in special de pe site-urile web cu trafic ridicat.
Din punct de vedere financiar, aceasta este o practica consumatoare de resurse pentru Autoritatea de Certificare, insa si utilizatorii finali sunt afectati, deoarece fiecare cerere OCSP incetineste viteza de incarcare. Cu OCSP simplu, browserele trebuie sa interogheze serverul web si Autoritatea de Certificare cu privire la certificat. Insa OCSP Stapling simplifica intregul proces.
Cum functioneaza OCSP Stapling
OCSP Stapling imbunatateste protocolul OCSP, lasand serverul web (in loc de browser) sa interogheze Autoritatea de Certificare asupra starii certificatului SSL. Atunci cand webserver-ul vine in contact cu furnizorul SSL, Autoritatea de Certificare furnizeaza un raspuns digital sigur, datat. Cand serverul web se conecteaza la un browser, leaga raspunsul digital datat cu certificatul SSL, facand verificarea mai rapida. In loc sa contacteze Autoritatea de Certificare, browserul verifica data si ora serverului si, deoarece are de a face cu o Autoritate de certificare de incredere, are incredere in certificat.
OCSP Stapling imbunatateste semnificativ timpul de incarcare a continutului securizat si garanteaza securitatea si confidentialitatea datelor utilizatorului. Majoritatea browserelor web si a platformelor de server accepta OCSP Stapling.
Activarea OCSP Stapling pe serverele Windows, Apache si Nginx
Activarea OCSP Stapling pe serverele Windows
OCSP Stapling este activat implicit pe Windows Server 2008 si versiunile ulterioare. Daca utilizati o versiune anterioara a Windows Server, OCSP nu va fi disponibil. Actualizati la Windows 2008 sau o versiune ulterioara.
Activarea OCSP Stapling pe serverele Apache
Apache accepta OCSP Stapling incepand cu serverul HTTPD Apache 2.3.3+. Daca nu stiti ce versiune folositi, utilizati urmatoarele comenzi:
apache2 –v, httpd –vVerificati daca OCSP este activat. Urmati pasii de mai jos:
1. In OpenSSL, executati urmatoarea comanda:
openssl.exe s_client -connect [yourdomain.com]:443 –status
Daca OCSP este activat, veti primi urmatorul raspuns in sectiunea OCSP Response data: OCSP Response Status: successful (0x0). Daca OCSP nu este activat, nu veti avea date de raspuns in OCSP. In acest caz, asigurati-va ca certificatul intermediar este instalat corect.
2. Verificati daca serverul dvs. Apache s-a conectat cu succes la serverul OCSP. Executati comanda de mai jos:
curl ocsp.digicert.com/ping.html
3. Pentru a activa OCSP Stapling, trebuie sa editati fisierul gazda de configurare virtual pentru websitul dvs. (your-domain.com-ssl.conf) utilizand un editor la alegere. Fisierul de configurare se afla de obicei in urmatorul director: etc/apache2/sites-available/your-domain.com-ssl.conf
4. Deschideti fisierul si efectuati urmatoarele modificari:
- Adaugati urmatoarele linii in interiorul tag-urilor <VirtualHost>:
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
- Adaugati o linie in interiorul tag-urilor care indica un fisier de lant de certificate de incredere. Acesta trebuie sa contina certificatele intermediare si root in ordine:
SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
- Adaugati urmatoarea linie in afara tag-urilor <VirtualHost>:
SSLStaplingCache shmcb:/var/run/ocsp(128000)
5. Testati configuratia:
apachectl –t
6. Restartati serverul Apache:
apachectl restart.
Activarea OCSP Stapling pe Nginx
OCSP Stapling este disponibil pe Nginx 13,7 sau versiunile ulterioare. Verificati versiunea Nginx: nginx-v
1. Verificati daca OCSP Stapling este activat. Executati urmatoarea comanda in OpenSSL:
openssl s_client -connect [yourdomain.com]:443 –status
2. Daca OCSP este activat, veti primi urmatorul raspuns in sectiunea OCSP Response data: OCSP Response Status: successful (0x0).
3. Daca nu este activat, nu veti vedea niciun raspuns OCSP Response Data. Daca nu primiti confirmarea ca OCSP este activat, utilizati acest ghid de troubleshooting.
4. Pentru a activa OCSP Stapling, editati mai intai fisierul de configurare a blocului de server pentru site-ul dvs. (sau nginx.conf daca nu sunt utilizate blocurile de server):
nano /etc/nginx/sites-enabled/my-domain.com-ssl.conf
sau
nano /etc/nginx/nginx.conf
! Daca trebuie sa activati OCSP Stapling pe un singur bloc de server, trebuie sa fie „default_server”. Daca trebuie sa o activati pe mai multe blocuri de server, trebuie sa fie activata mai intai pe „default_server”. Apoi poate fi activat pe orice alt bloc de server.
5. Porniti OCSP Stapling si permiteti serverului sa verifice OCSP adaugand doua linii in interiorul blocului de server:
ssl_stapling on;
ssl_stapling_verify on;
6. Indicati un fisier de lant de certificate de incredere. Acesta trebuie sa contina certificatele intermediare si root in ordine:
ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem
7. Verificati configuratia:
sudo service nginx configtest
8. Reporniti Nginx:
sudo service nginx reload