หากลูกค้าไม่ได้รับการตอบกลับหลัก มันจะติดต่อเซิร์ฟเวอร์ OCSP ด้วยตัวเอง … ด้วยเหตุนี้ ลูกค้ายังคงมีการรับประกันที่ตรวจสอบได้จากผู้ออกใบรับรองว่า ปัจจุบันใบรับรองถูกต้อง (หรือเพิ่งไม่นาน) แต่ไม่จำเป็นต้องติดต่อเซิร์ฟเวอร์ OCSP ทีละคนอีกต่อไป
ต้องใช้ลวดเย็บ OCSP หรือไม่
OCSP must-staple
ผู้โจมตีที่มีใบรับรองที่ถูกเพิกถอน สามารถละเลยที่จะให้การตอบสนอง OCSP เมื่อเบราว์เซอร์เชื่อมต่อและเบราว์เซอร์จะยอมรับ ใบรับรองที่ถูกเพิกถอน ในกรณีดึงข้อมูล OCSP วิธีการแบบซอฟต์ล้มเหลวนั้นสมเหตุสมผล
คุณจะรู้ได้อย่างไรว่า OCSP ของคุณถูกเย็บเล่มแล้ว
ตรวจสอบว่าเปิดใช้งานการเย็บเล่ม OCSP หรือไม่
ไปที่ https://www.digicert.com/help และในกล่องที่อยู่เซิร์ฟเวอร์ พิมพ์ที่อยู่เซิร์ฟเวอร์ของคุณ (เช่น www.digicert.com) หากเปิดใช้งานการเย็บเล่ม OCSP ภายใต้ใบรับรอง SSL ไม่ถูกเพิกถอน ทางด้านขวาของ OCSP Staple จะมีข้อความว่า ดี
ฉันจะเปิดใช้งานการเย็บเล่ม OCSP ได้อย่างไร
กำหนดค่าเซิร์ฟเวอร์ Apache ของคุณให้ใช้ OCSP Stapling
- แก้ไขการกำหนดค่า VirtualHost SSL ของเว็บไซต์ของคุณ เพิ่มบรรทัดต่อไปนี้ภายในบล็อก: SSLUseStapling on …
- ตรวจสอบการกำหนดค่าเพื่อหาข้อผิดพลาดด้วยบริการ Apache Control Apachectl -t.
- โหลดบริการ Apache ซ้ำ บริการ apache2 โหลดซ้ำ
การเย็บ OCSP ทำงานอย่างไร
การเย็บ OCSP ทำงานอย่างไร การเย็บ OCSP เป็นวิธีที่มีประสิทธิภาพมากขึ้นในการจัดการการตรวจสอบข้อมูลใบรับรอง … เมื่อผู้ใช้พยายามเข้าชมไซต์ การตอบกลับแบบประทับเวลาแบบดิจิทัลแล้ว "เย็บเล่ม" ด้วยการจับมือ TLS/SSL ผ่านการตอบกลับส่วนขยายคำขอสถานะใบรับรอง