¿Cuál es la diferencia exacta entre el Protocolo de estado de certificado en línea ( OCSP ) y Grapado OCSP , que parece ser" ... un enfoque alternativo al Protocolo de estado de certificados en línea (OCSP) "?
¿Cuál es la diferencia exacta entre el Protocolo de estado de certificado en línea ( OCSP ) y Grapado OCSP , que parece ser" ... un enfoque alternativo al Protocolo de estado de certificados en línea (OCSP) "?
El grapado de OCSP es más eficiente que el OCSP regular y proporciona una mejor privacidad.
El protocolo OCSP se usa para determinar si un certificado sigue siendo válido o ha sido revocado. Supongamos que desea conectarse de forma segura a un sitio web a través de TLS. Para asegurarse de que el certificado no haya sido revocado o caducado, su navegador puede emitir una solicitud de OCSP a la autoridad de certificación correspondiente. Después de recibir una confirmación firmada de la validez del certificado, continúe con el protocolo de enlace TLS.
Este proceso tiene algunas desventajas: contactar a la CA cuesta tiempo y ralentiza su experiencia de navegación. También puede generar un alto volumen de tráfico para la CA, le informa a la CA qué sitio web está visitando y siempre tiene que confiar en la disponibilidad del respondedor de OCSP, ya que de lo contrario no es posible la confirmación, y tendría que decidir entre aceptar el Certificado a pesar de la falta de confirmación o abortar la conexión. Por estas razones, Google Chrome ha dejado de ofrecer soporte para el OCSP regular.
El grapado OCSP evita estos problemas al hacer que el servidor emita las consultas OCSP periódicamente. En lugar de hacer que el usuario realice la comprobación de validez, el servidor web le presentará la respuesta de OCSP durante el protocolo de enlace TLS. No es un problema de seguridad que el servidor realice la consulta OCSP en sí, ya que la respuesta ha sido firmada por la CA e incluye una marca de tiempo, evitando así la manipulación. Dado que el servidor almacena en caché la respuesta, las CA ya no están inundadas de solicitudes de OCSP y, como usuario, no necesita ponerse en contacto con un tercero para verificar un certificado que beneficie su privacidad.
Algo para agregar a la respuesta de @Arminius:
La ausencia de una respuesta OCSP válida se trata de dos maneras:
Hard Fail: un navegador puede mostrar una advertencia en la página que indica que la conexión puede estar comprometida y requiere que el usuario haga clic en las advertencias para poder navegar por el servidor en cuestión.
Fallo suave: el navegador intenta obtener una respuesta OCSP válida (del respondedor o del certificado enviado por el servidor en caso de una grapa OCSP), pero en caso de fallo, la conexión continúa e ignora la ausencia. de una respuesta OCSP válida.
Para mantener la disponibilidad, los navegadores suelen preferir el segundo enfoque.
Es difícil decir que una forma es más segura que la otra. La grapa OCSP reduce la carga en el respondedor reduciendo las posibilidades de que sea DOS-d por solicitudes genuinas. Las respuestas almacenadas en caché en el lado del servidor aceleran un poco las cosas y reducen la carga en los navegadores para hacer el trabajo pesado de OCSP. Dicho esto, un atacante puede potencialmente ser un DDOS y un respondedor de OCSP e impedir que incluso los servidores genuinos obtengan una grapa OCSP válida.
Sin embargo,OCSP Stapling ha dado como resultado un gran aumento del rendimiento, como se explica en este corto pero brillante publicación de Nick Sullivan de Cloudflare en su blog. Si podemos solucionar el problema de los Respondedores OCSP que no responden, y podemos encontrar una manera de estar seguros de que siempre se presentará una respuesta ocsp, se pueden generar certificados con ocsp-must-staple extension. ESTO, si está en su lugar, significaría garantías de seguridad más fuertes en comparación con ninguna grapa de Ocsp.
Lea otras preguntas en las etiquetas tls certificates certificate-revocation ocsp