Czym jest OCSP stapling?

Przeczytaj czym jest OCSP stapling w naszym słowniku.
Pomoże Ci to lepiej zrozumieć, czym dokładnie jest OCSP stapling i jakie ma dla Ciebie znaczenie w codziennym użytkowaniu.

Czym jest OCSP stapling?

OCSP stapling

Kasia Bielawska
>
Kasia Bielawska

Online Certificate Status Protocol

Bezpieczeństwo

OCSP stapling to technologia optymalizująca proces sprawdzania, czy dany certyfikat bezpieczeństwa jest nadal ważny. W tradycyjnym modelu to przeglądarka użytkownika musi zapytać wystawcę certyfikatu, czy nie został on unieważniony. W przypadku OCSP stapling to serwer bierze ten ciężar na siebie.

Serwer okresowo pobiera potwierdzenie statusu certyfikatu od wystawcy i „przypina” (ang. staple) tę cyfrowo podpisaną informację bezpośrednio do procesu nawiązywania bezpiecznego połączenia. Dzięki temu każda osoba odwiedzająca stronę, która posiada aktywny certyfikat ssl, może błyskawicznie zweryfikować jego autentyczność bez nawiązywania dodatkowych połączeń zewnętrznych.

OCSP to protokół służący do sprawdzania, czy certyfikat nie został cofnięty przed upływem terminu ważności. Taka sytuacja może się zdarzyć na przykład wtedy, gdy klucz prywatny wycieknie, certyfikat został wydany błędnie albo właściciel domeny chce go unieważnić.

Bez dodatkowych usprawnień przeglądarka użytkownika może próbować samodzielnie połączyć się z serwerem OCSP wystawcy certyfikatu. To wydłuża cały proces ładowania strony i wprowadza zależność od zewnętrznej usługi.

Jak działa OCSP stapling?

Mechanizm jest dość prosty:

  1. Serwer pobiera od wystawcy certyfikatu aktualną odpowiedź OCSP.
  2. Przechowuje ją przez określony czas.
  3. Podczas nawiązywania połączenia TLS dołącza tę odpowiedź do handshake.
  4. Przeglądarka sprawdza odpowiedź i nie musi wykonywać osobnego zapytania do zewnętrznego serwera OCSP.

Właśnie to „dołączenie” odpowiedzi do połączenia nazywa się staplingiem. Można to porównać do sytuacji, w której serwer mówi: mam ważny certyfikat i od razu pokazuję aktualne potwierdzenie.

OCSP stapling działa więc w tle, ale ma realny wpływ na szybkość i niezawodność działania HTTPS.

Korzyści z wdrożenia OCSP stapling

  • Szybkość: Skrócenie czasu tzw. handshake’u TLS o kilkadziesiąt, a nawet kilkaset milisekund.
  • Niezawodność: Strona ładuje się poprawnie nawet wtedy, gdy serwery wystawcy certyfikatu mają chwilową awarię lub są przeciążone.
  • Prywatność: Dane o ruchu Twoich użytkowników nie wyciekają do zewnętrznych firm certyfikujących.

Te hasła mogą Cię zainteresować!

O

OAuth Object Storage Observability OctoberCMS Off-page SEO On-page SEO OPcache Open Graph Open rate OpenCart Optymalizacja Organiczne wyniki wyszukiwania  Orphan Page osCommerce Outbound marketing OWASP

Bezpieczeństwo

Adware ARC Atak DDoS Atak LFI Atak wolumetryczny Backup BIMI Brute Force Bug bounty Captcha CSRF Darknet DKIM DMARC DNS DANE DNSSEC DoH DoT DRP Dwuskładnikowe uwierzytelnianie Exploit Fail2ban Firewall Hasło High Availability HSTS Http HTTPS Immutable backup Intranet JWT  Keylogger Klucz SSH Let’s Encrypt Man in the middle ModSecurity MTA-STS Nagłówki bezpieczeństwa OAuth OWASP Phishing PUP Ransomware Rate limiting Replikacja RODO RTO i RPO SFTP Snapshot SNI Spear phishing SPF SQL Injection SSL Testy penetracyjne TLS TLS-RPT TOTP Tryb incognito VPN WAF XSS Zero Trust