OCSP Stapling

Voor veilig gebruik van digitale certificaten is een zorgvuldige controle op de geldigheid van de certificaten erg belangrijk. Voor deze controle kan gebruik gemaakt worden van een CRL of van OCSP. Een snelle en veilige variant van de laatste is OCSP stapling.

Hoe werkt OCSP?

OCSP (Online Certificate Status Protocol) geeft actuele statusinformatie over de geldigheid van een bepaald certificaat. Iedere keer dat de browser van een bezoeker een veilige https verbinding opzet met een website, controleert de browser de geldigheid van het certificaat bij de CA (de uitgever van het certificaat). Dit is een standaard en cruciaal onderdeel van het opzetten van de SSL verbinding; afhankelijk van het antwoord van de CA wordt de verbinding wel of niet tot stand gebracht.

Wat is OCSP stapling?

Bij deze methode is de SSL server de intermediair tussen de browser van de client en de CA. De server waar het SSL certificaat op geïnstalleerd is, voorziet de browser van het OCSP antwoord. Hierdoor hoeft de browser van de bezoeker geen apart uitstapje naar de CA te maken. Het OCSP antwoord is digitaal ondertekend en voorzien van een tijdstempel van de CA.

Deze aanpak biedt een privacy voordeel, maar het belangrijkste voordeel is dat de browser geen afzonderlijke verbinding hoeft te maken met de Revocation Service van de CA's voordat het de webpagina kan weergeven. Dit resulteert in betere prestaties en betrouwbaarheid.

OCSP Must-Staple and OCSP Expect-Staple

Na het ontwikkelingen en de implementatie van OCSP zijn er twee nieuwe functies toegevoegd, genaamd Must-Staple en Expect-Staple. Hoewel deze technieken nieuw en vatbaar voor problemen zijn, zal OCSP samen met deze technieken CRL voorbij streven als validatiemethode. Let wel op dat deze technieken nog maar net bestaan en je configuratie instabiel kunnen maken. Vooral Apache en Nginx zijn hier gevoelig voor.

Must-Staple is een techniek waarbij de webbrowser absoluut zeker weet of een website OCSP Stapling aan heeft staan. Hierdoor kunnen browsers de verbinding bij voorbaat al weigeren wanneer ze zien dat er geen OCSP Stapling gebruikt is. Expect-Staple is een meldingsmechanisme dat site-eigenaren helpt bij het opsporen en volgen van fouten die bezoekers ontvangen. Hierdoor kunnen site-eigenaren zien of zij OCSP op de juiste wijze geïmplementeerd hebben.

Hoe zet ik OCSP stapling aan op mijn server?

Nog niet alle servers en browsers ondersteunen OCSP stapling. Als uw server de techniek wel ondersteunt is het zeker aan te raden dit aan te zetten. De bezoeker merkt er niets van; zodra hij een browser gebruikt zonder ondersteuning voor OCSP stapling, schakelt hij over naar regulier OCSP.