Se il client non riceve una risposta pinzata, contatterà semplicemente il server OCSP da solo … Di conseguenza, i client continuano ad avere la certezza verificabile dall'autorità di certificazione che il certificato è attualmente valido (o era abbastanza recente), ma non è più necessario contattare individualmente il server OCSP.
È necessaria la pinzatura OCSP?
OCSP must-staple
Un utente malintenzionato con un certificato revocato può semplicemente trascurare di fornire una risposta OCSP quando un browser si connette ad esso e il browser accetterà la loro certificato revocato. Nel caso del recupero OCSP, un approccio soft-fail ha senso.
Come fai a sapere se il tuo OCSP è stato pinzato?
Controlla se la pinzatura OCSP è abilitata.
Vai su https://www.digicert.com/help e nella casella Indirizzo server, digita l'indirizzo del tuo server (es. www.digicert.com). Se la pinzatura OCSP è abilitata, in SSL Certificate non è stato revocato, a destra di OCSP Staple, viene visualizzato Good.
Come si attiva la pinzatura OCSP?
Configura il tuo server Apache per utilizzare la pinzatura OCSP
- Modifica la configurazione SSL di VirtualHost del tuo sito. Aggiungere la seguente riga ALL'INTERNO del blocco: SSLUseStapling on. …
- Controlla la configurazione per errori con il servizio Apache Control. Apachectl -t.
- Ricarica il servizio Apache. servizio apache2 ricarica.
Come funziona la pinzatura OCSP?
Come funziona la pinzatura OCSP. La pinzatura OCSP è un modo più efficiente per gestire la verifica delle informazioni sul certificato. … Quando un utente tenta di visitare il sito, la risposta con data e ora digitale viene "pinzata" con l'handshake TLS/SSL tramite la risposta dell'estensione della richiesta di stato del certificato.
