OCSP Stapling: как работает данная технология | LeaderSSL

Поддержка LeaderSSL оффлайн. Режим работы: пн. - пт. с 9:00 до 19:00 (по московскому времени) без перерыва на обед.

Обработка заказов и выпуск сертификатов - круглосуточно.

OCSP Stapling: как работает данная технология

Кодирование веб-трафика – процедура, позволяющая повысить безопасность передачи пользовательских данных. Однако само по себе кодирование бессмысленно, если не реализованы дополнительные меры, среди которых можно выделить проверку статуса SSL-сертификата. Сертификат не должен быть отозванным или истекшим, иначе к нему не будет доверия.

Как узнать, является ли сертификат доверенным? Сделать это можно единственным способом – спросить об этом у самого поставщика, т.е. у удостоверяющего центра, который хранит всю информацию, связанную с выпущенным сертификатом.

С помощью OCSP (Online Certificate Status Protocol) веб-браузеры могут проверить достоверность SSL-сертификата. Реализуется это при помощи технологии OCSP Stapling (сшивание OCSP). В этом случае веб-сервер загружает копию ответа удостоверяющего центра, которая затем передается непосредственно в браузер.

Метод OCSP Stapling помогает быстро и безопасно установить достоверность SSL-сертификата. Последовательность проверки достоверности сертификата по технологии OCSP Stapling состоит из следующих шагов:

Шаг 1. Веб-сервер, на котором находится вебсайт, защищенный SSL, отправляет запрос удостоверяющему центру. В ответе от УЦ приходит статус сертификата, а также подписанный timestamp (временная метка). Подписание метки позволяет гарантировать то, что она не будет каким-либо образом изменена веб-сервером.
Шаг 2. Браузер посетителя подключается к серверу. В этот момент сервер привязывает временную метку, полученную от УЦ, к SSL-сертификату.
Шаг 3. Браузер проверяет временную метку. Она подписана поставщиком сертификата, а значит, ей можно доверять.
Шаг 4. Если SSL-сертификат является доверенным, то в таком случае браузер откроет страницу. В противном случае пользователь получит сообщение об ошибке.

Данный подход позволяет снять нагрузку с удостоверяющих центров и перенести ее на веб-хостинги. Как результат, SSL-соединения устанавливаются быстрее, что позволяет защитить конфиденциальную информацию пользователей от попадания в руки злоумышленников.

Какие преимущества заключает в себе технология OCSP Stapling

Благодаря OCSP Stapling достигаются сразу несколько целей:

Гарантируется безопасность и конфиденциальность данных пользователей
Пользователи быстрее загружают защищенный контент, поскольку браузерам не нужно совершать многочисленные запросы
Сохраняется пропускная способность на стороне клиента, что является преимуществом для мобильных пользователей
Рост доверия и удовлетворенности клиентов за счет увеличения скорости доставки защищенного контента

Как включить OCSP Stapling

Технология OCSP Stapling поддерживается всеми современными браузерами. Для включения OCSP Stapling в Apache и Nginx необходимо выполнить следующие действия.

Включение OCSP Stapling в Apache

Для включения OCSP Stapling в Apache используется директива SSLUseStapling. Если директива включена, mod_ssl будет содержать OCSP-запрос для SSL-сертификата в TLS handshake. Обязательным условием для включения OCSP Stapling является настройка SSLStaplingCache.

Шаг 1. Редактируем VirtualHost вашего сайта. Добавляем в блок  <VirtualHost></VirtualHost> следующую команду:

SSLUseStapling on

Шаг 2. Над или под блоком  <VirtualHost></VirtualHost> задаем следующий код:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Шаг 3. Выполняем проверку конфигурации:

Apachectl –t

Шаг 4. Перезапускаем Apache:

service apache2 reload

Включение OCSP Stapling в Nginx

Для включения OCSP Stapling в Nginx используется директива ssl_stapling. 

Шаг 1. Редактируем конфигурационный файл для вашего сайта. В блок server { } добавляем следующие директивы:

ssl_stapling on;

ssl_stapling_verify on;

Шаг 2 (необязательный). Добавляем DNS resolver (Google DNS). Если его не задать, то в таком случае будет использоваться DNS сервера.

resolver 8.8.4.4 8.8.8.8;

Шаг 3. Проверяем конфигурацию:

nginx –t

Шаг 4. Перезагружаем Nginx:

systemctl restart nginx

Если вы хотите заказать SSL-сертификат от доверенного удостоверяющего центра, вы всегда можете сделать это в магазине LeaderSSL. У нас вы найдете широкий спектр SSL-сертификатов, предназначенных как для владельцев небольших сайтов, так и для крупных организаций и интернет-магазинов.