Nếu máy khách không nhận được phản hồi được ghim, nó sẽ tự liên hệ với máy chủ OCSP … Do đó, máy khách tiếp tục có được sự đảm bảo có thể xác minh được từ cơ quan cấp chứng chỉ rằng chứng chỉ hiện có hiệu lực (hoặc gần đây), nhưng không cần phải liên hệ riêng với máy chủ OCSP nữa.
Có cần dập ghim OCSP không?
OCSP bắt buộc phải có
Kẻ tấn công có chứng chỉ bị thu hồicó thể chỉ cần bỏ qua việc cung cấp phản hồi OCSP khi một trình duyệt kết nối với nó và trình duyệt sẽ chấp nhận bị thu hồi chứng chỉ. Trong trường hợp tìm nạp OCSP, cách tiếp cận lỗi mềm có ý nghĩa.
Làm thế nào để bạn biết liệu OCSP của bạn đã được ghim hay chưa?
Kiểm tra xem ghim OCSP đã được bật chưa.
Truy cập https://www.digicert.com/help và trong hộp Địa chỉ máy chủ, nhập địa chỉ máy chủ của bạn (tức là www.digicert.com). Nếu ghim OCSP được bật, trong Chứng chỉ SSL chưa bị thu hồi, ở bên phải Ghim OCSP có thông báo Tốt.
Làm cách nào để bật ghim OCSP?
Định cấu hình máy chủ Apache của bạn để sử dụng OCSP Stapling
- Chỉnh sửa cấu hình VirtualHost SSL của trang web của bạn. Thêm dòng sau BÊN TRONG khối: SSLUseStapling on. …
- Kiểm tra cấu hình để tìm lỗi với dịch vụ Apache Control. Apachectl -t.
- Tải lại dịch vụ Apache. tải lại dịch vụ apache2.
Kẹp ghim OCSP hoạt động như thế nào?
Cách hoạt động của dập ghim OCSP. Ghim OCSP là một cách hiệu quả hơn để xử lý việc xác minh thông tin chứng chỉ. … Khi người dùng cố gắng truy cập trang web, phản hồi được đánh dấu thời gian kỹ thuật số sau đó được "ghim" bằng cách bắt tay TLS / SSLthông qua phản hồi của phần mở rộng Yêu cầu trạng thái chứng chỉ.
