OCSP Stapling: Optimierung der Zertifikatsvalidierung
Serverseitiges OCSP bei der Zertifikatsvalidierung: Weniger Traffic, mehr Privacy und erhöhte Effizienz - ein Schritt in Richtung zukunftsweisender Web-Sicherheit.
Ein gültiges SSL-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde, ist heute für Websites unabdingbar. Browser verwenden das Online Certificate Status Protocol (OCSP), um die Gültigkeit gemäss Standard X.509 in Echtzeit zu überprüfen. Die laufende Optimierung der Zertifikatsvalidierung ist daher ein zentraler Aspekt der Web- und Netzwerksecurity. Eine effektive Methode dafür ist das sogenannte serverseitige OCSP (auch bekannt als OCSP Stapling). Es ermöglicht dem Webserver die Zertifikatsvalidierung vom Browser (Client) zu übernehmen und die Anforderung an den OCSP-Responder zu stellen. Der Server bettet dann die OCSP-Antwort in den SSL/TLS-Handshake ein und übergibt sie zusammen mit dem Zertifikat an den Client. Im Vergleich zur clientseitigen Validierung bietet dies mehrere Vorteile:
1. Reduzierter Traffic und gesteigerte Performance:
Durch OCSP Stapling wird der Datenverkehr zwischen den Clients und den Zertifizierungsstellen erheblich reduziert. Die reduzierte Serverlast führt zu einer verbesserten Leistung, insbesondere bei grossen Trafficvolumina. Ein herausragendes Beispiel ist Let's Encrypt, das beeindruckende 100.000 OCSP-Anfragen pro Sekunde bewältigen muss.
2. Verbesserte Client Privacy:
Wenn die Zertifikatsvalidierung serverseitig durchgeführt wird, haben die Zertifizierungsstellen keinen Einblick mehr in die URLs, die von den Clients aufgerufen werden. Dies trägt zur Wahrung der Privatsphäre der Benutzer bei.
Implementierung und Auswirkungen
Die Implementierung von OCSP Stapling ist relativ unkompliziert. Der Webserver extrahiert die OCSP-URL aus dem Zertifikat und überprüft regelmässig, ob das Zertifikat nicht revoziert wurde. Diese Information wird dann an den Client weitergegeben, der daraufhin keine weitere OCSP-Prüfung durchführt. In der Vergangenheit wurden die OCSP Stapling-Anfragen standardmässig bei aspectra über den Proxy-Out ausgeführt, was jedoch zu Störungen führen konnte, insbesondere wenn ein CDN ausfiel. Aus diesem Grund wurde beschlossen, diese Anfragen zukünftig direkt und nicht mehr über Proxy-Server durchzuführen, um die Stabilität und Zuverlässigkeit zu erhöhen.
Ausblick und Empfehlungen
Die ersten Implementierungen von OCSP Stapling in der aspectra-Infrastruktur haben gezeigt, dass der Teufel im Detail steckt. Es sind mehr Komponenten involviert als ursprünglich angenommen. OCSP Stapling hat zu einer tieferen Verfügbarkeit auf den WAFs geführt. Diese tiefere Verfügbarkeit ist grösstenteils auf die Implementierung und das Verhalten des Apache HTTP Servers zurückzuführen. Aus Sicht eines Hosters geschäftskritischer Infrastruktur hat die Verfügbarkeit höchste Priorität. Aus diesem Grund haben wir uns entschieden, OCSP nur auf Kundenanfrage auf den WAFs zu implementieren.
Quellen & Weiterführend:
- OCSP (OCSP Stapling) EN https://en.wikipedia.org/wiki/OCSP_stapling / DE Online Certificate Status Protocol stapling – Wikipedia
- Was ist OCSP Stapling und wie wird es verwendet? (SSL Dragon Blog)
- Warum wir «Let’s Encrypt» unterstützen aspectra-Blog 06.09.2021