OCSP服务器是否应将未成功的OCSP响应定标?
我对OCSP的初步理解是:
- 断言由CA签名,并在短期内有效。
- Stapling是指将OCSP请求工作推送到work服务器上,然后缓存(CA签名)响应并使用“状态请求”扩展将其吐出给客户端的做法。
- OCSP服务器可能处于瘫痪状态,在这种情况下,可能无法成功地响应server。
我看到OpenSSL报告说服务器正在发送这些OCSP数据:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: trylater (0x3)
======================================为什么会发生这种事?当然,has服务器应该发送它缓存的最后一个有效的、成功的OCSP响应?该死的,难道没有发送任何东西(让浏览器自己来完成请求)比以后的尝试更好吗?
回答 2
Security用户
发布于 2017-08-15 09:40:42
所描述的for服务器行为是不可取的,这似乎是由于SSLStaplingReturnResponderErrors设置的Apache默认设置所致。数不胜数 online 帖子一直在质疑这些默认配置背后的逻辑。
此外,替代的not服务器实现也不会效仿。如果有一个错误的调用ParseResponse时,这是由一个不成功的ResponseStatus (如TryLater )造成的,凯蒂将不会提供被钉钉的响应。这确保用户获得最新的有效的OCSP短纤。
这种方法显然是确保用户保持对站点的访问的最佳方法,即使OCSP响应程序离线或遇到困难。在安全性和站点可用性之间有一个权衡,但是考虑到OCSP响应的短暂寿命,这似乎是一个相当合理的解决方案。浏览器可以决定它是否愿意接受最后一个已知的好的响应。
“CA说证书在$timestamp上有效”的答复将允许用户代理做出比"OCSP服务器没有给我们任何东西,稍后尝试“的更好、更明智的决定。
Security用户
发布于 2017-08-15 09:13:00
关键是向认证客户端提供最多的信息,以便该客户端能够确定哪些信息是可以接受的。tryLater的一个积极状态是可能对客户端有用的信息:它可能选择稍后尝试,但记录异常,使用另一个机制/响应程序(例如CRL)或拒绝连接。
如果响应者被关闭,服务器根本不知道客户机的安全需求,并且考虑到这可能是MitM的恶意行为,客户端不应该假定服务器知道得最好。
这种行为似乎是正确的。
https://security.stackexchange.com/questions/167523
复制相似问题
腾讯云开发者
