¿Qué navegadores web admiten el grapado OCSP? ¿Son iguales las características de privacidad y rendimiento?

9

El grapado OCSP disminuye la carga en el servidor OCSP de una infraestructura PKI al adjuntar una respuesta firmada OCSP al objetivo en una conexión TLS. Además, crea una sesión más segura / privada ya que la CA no sabe que su navegador está accediendo a un sitio determinado. Algunas personas han comparado este comportamiento con Kerberos.

Question

  • ¿Qué navegadores web admiten el grapado OCSP?

  • ¿Existen consideraciones de implementación entre los diferentes navegadores que deben abordarse para mantener la privacidad uniforme y los beneficios de rendimiento?

pregunta random65537 15.03.2012 - 01:13
fuente

4 respuestas

9

Mi impresión es que el engrapado OCSP no está bien soportado en del lado del cliente , pero es posible que mi información esté desactualizada.

Al parecer, Firefox admite el grapado OCSP, a partir de Firefox 26. (Gracias a Jan Schejbal por esta información)

Chrome admite el grapado OCSP en Windows, Linux y ChromeOS . (Gracias a Kit Sunde por esta información). (El equipo de Chrome tiene decidió que planean eliminar CRL y cheques regulares de OCSP , pero no han desactivado el grapado OCSP.)

He leído un informe que la mayoría de los navegadores admiten el grapado OCSP en Windows .

Aquí hay más información sobre soporte del navegador para OCSP ( pero no grapado OCSP, desafortunadamente).

    
respondido por el D.W. 15.03.2012 - 18:40
fuente
6

Puede probar el soporte de grapado OCSP en su navegador en enlace .

Está en idioma checo, si puede ver OCSP_stapling_disabled, OCSP grapado está deshabilitado, OCSP_stapling_enabled significa que el grapado OCSP funciona.

    
respondido por el Jaromir Kuba 14.09.2012 - 13:48
fuente
3

IE lo ha admitido desde Vista, Chrome lo admite en Windows a través de CryptoAPI y en otras plataformas a través de parches para NSS. De hecho, Firefox no ha aceptado, Opera también lo ha apoyado durante varios años. Firefox tiene el peor comportamiento de revocación de cualquier navegador en varios frentes, su falta de soporte de grapas OCSP es el ejemplo más pequeño. Además, Chrome continuará admitiendo el grapado de OCSP y OCSP en escenarios empresariales que han proporcionado su propio mecanismo de comprobación de revocación por varios motivos.

    
respondido por el Ryan Hurst 01.05.2012 - 19:11
fuente
0

Incluso con el grapado de OCSP, el hecho de verificar la firma de OCSP puede exponer información personal a la raíz de firma de OCSP. Además, la raíz cantante de OCSP puede ser una tercera parte de toda la infraestructura, como se muestra aquí:

fuente

Aunque hay ventajas de seguridad para validar la firma de firma de OCSP, si la privacidad es mayor que la seguridad, la siguiente extensión desactiva la funcionalidad de firma szOID_PKIX_OCSP_NOCHECK (1.3.6.1.5.5.7.48.1.5) (tenga en cuenta que la CA debe implementar esta extensión)

Si desea utilizar CRL en lugar de OCSP, puede establecer la siguiente configuración en 1 o cero en una máquina con Windows

 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config\CryptnetCachedOcspSwitchToCrlCount
    
respondido por el random65537 02.06.2012 - 07:06
fuente