Если клиент не получает сшитый ответ, он просто сам свяжется с сервером OCSP … В результате клиенты по-прежнему получают проверяемую гарантию от центра сертификации, что сертификат в настоящее время действителен (или был совсем недавно), но больше не нужно индивидуально связываться с сервером OCSP.
Требуется ли сшивание OCSP?
OCSP must-staple
Злоумышленник с отозванным сертификатом может просто не предоставить ответ OCSP, когда браузер подключается к нему, и браузер примет их отозванный сертификат. В случае выборки OCSP подход с мягким сбоем имеет смысл.
Как узнать, был ли сшит ваш OCSP?
Проверьте, включено ли сшивание OCSP.
Перейдите на страницу https://www.digicert.com/help и в поле Адрес сервера введите адрес своего сервера (например, www.digicert.com). Если сшивание OCSP включено, в разделе SSL-сертификат не был отозван, справа от сшивания OCSP написано Good.
Как включить сшивание OCSP?
Настройте сервер Apache для использования OCSP Stapling
- Редактируйте конфигурацию VirtualHost SSL вашего сайта. Добавьте следующую строку ВНУТРИ блока: SSLUseStapling on. …
- Проверьте конфигурацию на наличие ошибок с помощью службы Apache Control. Apachectl -t.
- Перезагрузите службу Apache. служба apache2 reload.
Как работает сшивание OCSP?
Как работает сшивание OCSP. Сшивание OCSP - более эффективный способ проверки информации сертификата. … Когда пользователь пытается посетить сайт, ответ с цифровой отметкой времени затем «сшивается» с рукопожатием TLS/SSL через ответ расширения запроса статуса сертификата.
