თუ კლიენტი არ მიიღებს დამაგრებულ პასუხს, ის უბრალოდ დაუკავშირდება OCSP სერვერს თავისთავად… შედეგად, კლიენტებს აგრძელებენ შემოწმებადი გარანტია სერტიფიკატის ორგანოსგან, რომ სერთიფიკატი ამჟამად მოქმედებს (ან იყო ცოტა ხნის წინ), მაგრამ აღარ არის საჭირო ინდივიდუალურად დაუკავშირდეს OCSP სერვერს.
აუცილებელია OCSP სტეპლირება?
OCSP must-staple
თავდამსხმელს გაუქმებული სერტიფიკატი შეუძლია უბრალოდ უგულებელყოს OCSP პასუხის გაცემა, როდესაც ბრაუზერი დაუკავშირდება მას და ბრაუზერი მიიღებს მათ. გაუქმებული მოწმობა. OCSP-ის გამოტანის შემთხვევაში, soft-fail მიდგომა აზრი აქვს.
როგორ იცით, თქვენი OCSP დამაგრებულია თუ არა?
შეამოწმეთ, ჩართულია თუ არა OCSP სტეპლინგი.
გადადით https://www.digicert.com/help და სერვერის მისამართის ველში, ჩაწერეთ თქვენი სერვერის მისამართი (მაგ. www.digicert.com). თუ OCSP სტეპლინგი ჩართულია, SSL სერთიფიკატი არ არის გაუქმებული, OCSP Staple-ის მარჯვნივ, ის ამბობს კარგი.
როგორ გავააქტიურო OCSP სტეპლინგი?
დააკონფიგურირეთ თქვენი Apache სერვერი OCSP Stapling-ის გამოსაყენებლად
- დაარედაქტირეთ თქვენი საიტის VirtualHost SSL კონფიგურაცია. დაამატეთ შემდეგი ხაზი ბლოკის შიგნით: SSLUseStapling ჩართულია. …
- შეამოწმეთ კონფიგურაცია შეცდომებზე Apache Control სერვისით. Apachectl -t.
- გადატვირთეთ Apache სერვისი. სერვისის apache2 გადატვირთვა.
როგორ მუშაობს OCSP სტეპლინგი?
როგორ მუშაობს OCSP სტეპლინგი. OCSP სტეპლინგი უფრო ეფექტური გზაა სერტიფიკატის ინფორმაციის გადამოწმებისთვის. … როდესაც მომხმარებელი ცდილობს საიტის მონახულებას, ციფრული დროით დაფიქსირებული პასუხი შემდეგ "დამაგრდება" TLS/SSL ხელის ჩამორთმევით სერტიფიკატის სტატუსის მოთხოვნის გაფართოების პასუხის მეშვეობით.
