OCSP Stapling

Voor veilig gebruik van digitale certificaten is een zorgvuldige controle op de geldigheid van de certificaten erg belangrijk. Voor deze controle kan gebruik gemaakt worden van een CRL of van OCSP. Een snelle en veilige variant van van de laatste is OCSP stapling.

Hoe werkt OCSP?

OCSP (Online Certificate Status Protocol) geeft actuele statusinformatie over de geldigheid van een bepaald certificaat. Iedere keer dat de browser van een bezoeker een veilige https verbinding opzet met een website, controleert de browser de geldigheid van het certificaat bij de CA (de uitgever van het certificaat). Dit is een standaard en cruciaal onderdeel van het opzetten van de SSL verbinding; afhankelijk van het antwoord van de CA wordt de verbinding wel of niet tot stand gebracht.

Wat is OCSP stapling?

Bij deze methode is de SSL server de intermediair tussen de browser van de client en de CA. De server waar het SSL certificaat op geïnstalleerd is, voorziet de browser van het OCSP antwoord. Hierdoor hoeft de browser van de bezoeker geen apart uitstapje naar de CA te maken. Het OCSP antwoord is digitaal ondertekend en voorzien van een tijdstempel van de CA.

Deze aanpak biedt een privacy voordeel, maar het belangrijkste voordeel is dat de browser geen afzonderlijke verbinding hoeft te maken met de Revocation Service van de CA's voordat het de webpagina kan weergeven. Dit resulteert in betere prestaties en betrouwbaarheid.

Hoe zet ik het aan op mijn server?

Nog niet alle servers en browsers ondersteunen OCSP stapling. Als uw server de techniek wel ondersteunt is het zeker aan te raden dit aan te zetten. De bezoeker merkt er niets van; zodra hij een browser gebruikt zonder ondersteuning voor OCSP stapling, schakelt hij over naar regulier OCSP.

Serverondersteuning

  • Nginx 1.3.7+
  • Windows Server 2008
  • IIS 7.5 +
  • Apache 2.4 +

Browserondersteuning

  • Chrome 12+ onder Windows
  • Internet Explorer 9+ onder Vista en hoger
  • Opera v11+

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.