Windows Server 2008 - OCSP verplicht stellen via Group Policy

Het is inmiddels bekend dat de huidige beveiliging van browsers niet hoog genoeg is. Browsers staan namelijk standaard ingesteld om certificaten - en de daarbij opgezette beveiligde verbindingen - oogluikend te vertrouwen in het geval dat het niet mogelijk is om verbinding te krijgen met de OCSP / CRL server tijdens de standaard controle van het certificaat. Deze handleiding toont hoe OCSP via Group Policy voor Internet Explorer verplicht kan worden gesteld, waardoor misbruik kan worden voorkomen.

  1. Klik op menu Start Administrative ToolsGroup Policy Management.
  2. Open de boom bij User Configuration of Computer Configuration, afhankelijk van de wensen.
  3. Ga naar PoliciesAdministrative TemplatesWindows ComponentsInternet ExplorerInternet Control PanelAdvanced Page en dubbelklik op Check for server certificate revocation.
    Group Policy scherm
  4. Klik op de optie Enabled en vervolgens op OK om het in te stellen in GP.
  5. Klik eventueel op Start en typ in het zoekvak gpupdate /force om de instelling gelijk te pushen naar alle clients.

Dit zal soms dus leiden tot het weigeren van een verbinding, maar hiermee is in ieder geval zeker dat de status van een certificaat daadwerkelijk wordt gecontroleerd voordat het wordt gebruikt om een beveiligde verbinding op te zetten.

point up