Kung ang kliyente ay hindi makatanggap ng stapled na tugon, ito ay makikipag-ugnayan lamang sa OCSP server nang mag-isa … Bilang resulta, ang mga kliyente ay patuloy na may nabe-verify na katiyakan mula sa awtoridad ng sertipiko na ang sertipiko ay kasalukuyang wasto (o kamakailan lamang), ngunit hindi na kailangang indibidwal na makipag-ugnayan sa OCSP server.
Kinakailangan ba ang OCSP stapling?
OCSP must-staple
Ang isang attacker na may binawi na certificate ay maaaring magpabaya na magbigay ng tugon sa OCSP kapag kumonekta dito ang isang browser at tatanggapin ng browser ang kanilang binawi ang sertipiko. Sa OCSP fetching case, may katuturan ang soft-fail approach.
Paano mo malalaman kung na-staple ang iyong OCSP?
Tingnan kung naka-enable ang OCSP stapling.
Pumunta sa https://www.digicert.com/help at sa kahon ng Address ng Server, i-type ang address ng iyong server (i.e. www.digicert.com). Kung ang OCSP stapling ay pinagana, sa ilalim ng SSL Certificate ay hindi binawi, sa kanan ng OCSP Staple, ito ay nagsasabing Mabuti.
Paano ko ie-enable ang OCSP stapling?
I-configure ang iyong Apache server upang gamitin ang OCSP Stapling
- I-edit ang configuration ng SSL ng VirtualHost ng iyong site. Idagdag ang sumusunod na linya SA LOOB ng block: SSLUseStapling on. …
- Suriin ang configuration para sa mga error sa serbisyo ng Apache Control. Apachectl -t.
- I-reload ang serbisyo ng Apache. service apache2 reload.
Paano gumagana ang OCSP stapling?
Paano gumagana ang OCSP stapling. Ang OCSP stapling ay isang mas mahusay na paraan upang pangasiwaan ang pag-verify ng impormasyon ng sertipiko. … Kapag sinubukan ng isang user na bumisita sa site, ang digitally time-stamped na tugon ay "naka-staples" ng TLS/SSL handshake sa pamamagitan ng tugon sa extension ng Kahilingan sa Certificate ng Certificate.
