Pokud klient neobdrží sešitou odpověď, bude pouze sám kontaktovat server OCSP … Výsledkem je, že klienti mají nadále ověřitelné ujištění od certifikační autority, že certifikát je v současné době platný (nebo byl docela nedávno), ale již není nutné jednotlivě kontaktovat server OCSP.
Je vyžadováno sešívání OCSP?
OCSP must-staple
Útočník se zrušeným certifikátem může jednoduše zapomenout poskytnout odpověď OCSP, když se k němu prohlížeč připojí a prohlížeč přijme jejich zneplatněný certifikát. V případě načítání OCSP dává smysl přístup měkkého selhání.
Jak poznáte, že byl váš OCSP sešit?
Zkontrolujte, zda je povoleno sešívání OCSP.
Přejděte na https://www.digicert.com/help a do pole Adresa serveru zadejte adresu svého serveru (tj. www.digicert.com). Pokud je povoleno sešívání OCSP, v části Certifikát SSL nebyl odvolán, vpravo od sešívačky OCSP je uvedeno Dobré.
Jak povolím sešívání OCSP?
Nakonfigurujte svůj server Apache tak, aby používal sešívání OCSP
- Upravte konfiguraci VirtualHost SSL svého webu. Přidejte následující řádek UVNITŘ bloku: SSLUseStapling on. …
- Zkontrolujte konfiguraci, zda neobsahuje chyby se službou Apache Control. Apachectl -t.
- Znovu načtěte službu Apache. reload služby apache2.
Jak funguje sešívání OCSP?
Jak funguje sešívání OCSP. Sešívání OCSP je efektivnější způsob, jak zpracovat ověření informací certifikátu. … Když se uživatel pokusí navštívit stránku, odpověď s digitálním časovým razítkem je poté „sešita“pomocí TLS/SSL handshake prostřednictvím odpovědi na rozšíření žádosti o stav certifikátu.
