Распространенные проблемы с проверкой отзыва SSL
SSL - сертификаты— это в целом удивительное изобретение, которое помогает защитить ваш сайт за счет шифрования между вами и вашими пользователями. Так же они заслуживают SEO положительный фактор вашему сайту для повышения позиций в поисковых системах.
К сожалению, это не означает, что наличие SSL на вашем веб-сайте - это всегда только положительно. Как и все технические средства, всегда есть шанс, что что-то пойдет не так. Сегодня мы сосредоточимся на некоторых типичных проблемах, связанных с проверками отзыва SSL, и на том, что вы можете сделать, чтобы их предотвратить.
Прежде чем мы перейдем к тому, что это за проблемы, давайте определимся с отзывом SSL и зачем кому-то это может понадобиться.
Это может показаться странным, но есть несколько причин, по которым может потребоваться отозыв SSL сертификата:
Как следует из названия, CRL - это список недействительных SSL-сертификатов, которые браузеры могут проверить перед загрузкой веб-сайта. CRL списки обычно обновляются центром сертификации каждые 24 часа, браузеры также периодически загружают обновленные списки.
OCSP - это протокол, который браузеры могут использовать для проверки статуса сертификата SSL. Перед загрузкой веб-сайта браузер свяжется с сервером, известным как ответчик OCSP, чтобы проверить статус отзыва SSL этого сайта на сервере центра сертификации. Ответчик сообщит статус аннулирования сертификата SSL.
В наши дни обычно используется более быстрая версия этого процесса, известная как сшивание OCSP. Это снимает нагрузку с веб-браузеров и позволяет серверу веб-сайта хранить кешированную версию статуса SSL и закрытый ключ подписи ЦС до семи дней. Таким образом, веб-браузеру вообще не нужно связываться с сервером OCSP, поскольку обо всем позаботится сервер сайта.
Когда проверки отзыва SSL работают должным образом, браузеры будут проверять списки отзыва сертификатов или серверы OCSP на предмет наличия SSL-статуса конкретного веб-сайта. Если SSL был отозван, он предупредит посетителей веб-сайта об этом факте с помощью предупреждающего сообщения.
К сожалению, иногда эти проверки отзыва не работают, и браузеры будут отображать веб-сайт, как безопасный, хотя на самом деле его SSL был отозван.
Режим мягкого сбоя предназначен для предотвращения сбоев в работе пользователя, но на самом деле может оставить пользователей веб-сайта уязвимыми. В режиме soft-fail браузер автоматически распознает SSL, как действительный и укажет на наличие безопасного соединения (https), даже если его нет. С точки зрения конфиденциальности, если сервер-ответчик OCSP, когда-либо будет скомпрометирован, пользовательские данные, такие как их IP-адрес и версия браузера, могут быть раскрыты.
Еще одна проблема, когда дело доходит до проверок отзыва SSL, - это скорость. Поскольку он включает в себя загрузку и перекрестную проверку огромного списка отозванных SSL, метод CRL, в частности, может замедлить время загрузки страницы и повлиять на взаимодействие с пользователем. OCSP обычно быстрее, чем метод CRL, но зависит от скорости сервера отзыва CA.
Пользователи веб-сайта должны проверить, какие проверки отзыва поддерживает их браузер. Сшивание OCSP идеально, но не на всех браузерах. Некоторые браузеры, например Chrome, не проверяют автоматически отозванные сертификаты SSL, поэтому вам нужно будет включить его вручную в настройках. Некоторые браузеры также поддерживают собственный список отозванных сертификатов SSL для перекрестной проверки вместо использования CRL или OCSP.
К сожалению, это не означает, что наличие SSL на вашем веб-сайте - это всегда только положительно. Как и все технические средства, всегда есть шанс, что что-то пойдет не так. Сегодня мы сосредоточимся на некоторых типичных проблемах, связанных с проверками отзыва SSL, и на том, что вы можете сделать, чтобы их предотвратить.
Прежде чем мы перейдем к тому, что это за проблемы, давайте определимся с отзывом SSL и зачем кому-то это может понадобиться.
Зачем отозывать свой SSL сертификат?
Отзыв SSL — это процесс, который делает ваш сертификат SSL сертификат недействительным до истечения срока его действия, чтобы отличить его от действительных SSL. Отзыв SSL отменяет сертификат, удаляет HTTPS с вашего сайта и предупреждает центры сертификации о том, что ваш сертификат SSL больше не используется.Это может показаться странным, но есть несколько причин, по которым может потребоваться отозыв SSL сертификата:
- Закрытый ключ вашего SSL-сертификата был утерян или украден;
- Вы просто не хотите больше использовать свой SSL;
- Вам нужно было перевыпустить свой SSL, поэтому вам нужно сделать старый недействительным;
- Домен подозревается в злонамеренных действиях (например, фишинге или вредоносном ПО);
- Ваш SSL был выдан ошибочно;
- Вы нарушили условия использования SSL-сертификата.
Как работают проверки отзыва SSL
Когда SSL был отозван, ЦС должен сообщить браузерам, что SSL больше не действует. Это достигается путем добавления серийного номера (идентификатора сертификата SSL) в списки отзыва сертификатов (Certificate Revocation List) и протокола состояния сертификатов (OCSP).Как следует из названия, CRL - это список недействительных SSL-сертификатов, которые браузеры могут проверить перед загрузкой веб-сайта. CRL списки обычно обновляются центром сертификации каждые 24 часа, браузеры также периодически загружают обновленные списки.
OCSP - это протокол, который браузеры могут использовать для проверки статуса сертификата SSL. Перед загрузкой веб-сайта браузер свяжется с сервером, известным как ответчик OCSP, чтобы проверить статус отзыва SSL этого сайта на сервере центра сертификации. Ответчик сообщит статус аннулирования сертификата SSL.
В наши дни обычно используется более быстрая версия этого процесса, известная как сшивание OCSP. Это снимает нагрузку с веб-браузеров и позволяет серверу веб-сайта хранить кешированную версию статуса SSL и закрытый ключ подписи ЦС до семи дней. Таким образом, веб-браузеру вообще не нужно связываться с сервером OCSP, поскольку обо всем позаботится сервер сайта.
Когда проверки отзыва SSL работают должным образом, браузеры будут проверять списки отзыва сертификатов или серверы OCSP на предмет наличия SSL-статуса конкретного веб-сайта. Если SSL был отозван, он предупредит посетителей веб-сайта об этом факте с помощью предупреждающего сообщения.
К сожалению, иногда эти проверки отзыва не работают, и браузеры будут отображать веб-сайт, как безопасный, хотя на самом деле его SSL был отозван.
Ошибки и уязвимости
Две самые большие проблемы при проверке отзыва - это безопасность и конфиденциальность. Для браузеров, использующих традиционный метод OCSP, существует некоторая вероятность того, что что-то пойдет не так. Если во время проверки возникает проблема с приложением или сетевая задержка, браузер выполнит OCSP в режиме "мягкого" сбоя.Режим мягкого сбоя предназначен для предотвращения сбоев в работе пользователя, но на самом деле может оставить пользователей веб-сайта уязвимыми. В режиме soft-fail браузер автоматически распознает SSL, как действительный и укажет на наличие безопасного соединения (https), даже если его нет. С точки зрения конфиденциальности, если сервер-ответчик OCSP, когда-либо будет скомпрометирован, пользовательские данные, такие как их IP-адрес и версия браузера, могут быть раскрыты.
Еще одна проблема, когда дело доходит до проверок отзыва SSL, - это скорость. Поскольку он включает в себя загрузку и перекрестную проверку огромного списка отозванных SSL, метод CRL, в частности, может замедлить время загрузки страницы и повлиять на взаимодействие с пользователем. OCSP обычно быстрее, чем метод CRL, но зависит от скорости сервера отзыва CA.
Как избежать ошибок проверки отзыва
Чтобы повысить безопасность и скорость, владельцы веб-сайтов должны реализовать на своих серверах сшивание OCSP. Это не только гарантирует, что проверки отзыва будут работать должным образом, но также предотвратят любые потенциальные ошибки SSL.Пользователи веб-сайта должны проверить, какие проверки отзыва поддерживает их браузер. Сшивание OCSP идеально, но не на всех браузерах. Некоторые браузеры, например Chrome, не проверяют автоматически отозванные сертификаты SSL, поэтому вам нужно будет включить его вручную в настройках. Некоторые браузеры также поддерживают собственный список отозванных сертификатов SSL для перекрестной проверки вместо использования CRL или OCSP.