إذا لم يتلق العميل استجابة مدبسة ، سيتصل بخادم OCSP بنفسه… ونتيجة لذلك ، يستمر العملاء في الحصول على تأكيد يمكن التحقق منه من المرجع المصدق بأن الشهادة صالحة حاليًا (أو كانت مؤخرًا) ، لكنها لم تعد بحاجة إلى الاتصال الفردي بخادم OCSP.
هل التدبيس OCSP مطلوب؟
OCSP must-staple
يمكن للمهاجم بشهادة مبطلةببساطة إهمال تقديم استجابة OCSP عندما يتصل المستعرض بها وسيقبل المستعرض الخاص بهم شهادة ملغاة. في حالة جلب OCSP ، يكون نهج الفشل الناعم منطقيًا.
كيف تعرف ما إذا كان قد تم تدبيس OCSP الخاص بك؟
تحقق من تمكين تدبيس OCSP.
انتقل إلى https://www.digicert.com/help وفي مربع عنوان الخادم، اكتب عنوان الخادم الخاص بك (مثل www.digicert.com). إذا تم تمكين تدبيس OCSP ، فبموجب شهادة SSL لم يتم إبطالها ، إلى يمين OCSP Staple ، فإنه يقول جيد.
كيف يمكنني تمكين تدبيس OCSP؟
تكوين خادم Apache لاستخدام OCSP Stapling
- تحرير تهيئة VirtualHost SSL لموقعك. أضف السطر التالي داخل الكتلة: SSLUseStapling on. …
- تحقق من التكوين بحثًا عن أخطاء في خدمة Apache Control. اباتشكتل -t.
- قم بإعادة تحميل خدمة Apache. إعادة تحميل apache2 الخدمة.
كيف يعمل تدبيس OCSP؟
كيف يعمل التدبيس OCSP. تدبيس OCSP هو وسيلة أكثر فاعلية للتعامل مع التحقق من معلومات الشهادة. … عندما يحاول المستخدم زيارة الموقع ، يتم "تدبيس" الاستجابة ذات الطابع الزمني رقميًا بمصافحة TLS / SSLعبر استجابة طلب حالة الشهادة.
