OCSP Stapling: Optimierung der Zertifikatsvalidierung

Ein gültiges SSL-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde, ist heute für Websites unabdingbar. Browser verwenden das Online Certificate Status Protocol (OCSP), um die Gültigkeit gemäss Standard X.509 in Echtzeit zu überprüfen. Die laufende Optimierung der Zertifikatsvalidierung ist daher ein zentraler Aspekt der Web- und Netzwerksecurity. Eine effektive Methode dafür ist das sogenannte serverseitige OCSP (auch bekannt als OCSP Stapling). Es ermöglicht dem Webserver die Zertifikatsvalidierung vom Browser (Client) zu übernehmen und die Anforderung an den OCSP-Responder zu stellen. Der Server bettet dann die OCSP-Antwort in den SSL/TLS-Handshake ein und übergibt sie zusammen mit dem Zertifikat an den Client. Im Vergleich zur clientseitigen Validierung bietet dies mehrere Vorteile:

1. Reduzierter Traffic und gesteigerte Performance:

Durch OCSP Stapling wird der Datenverkehr zwischen den Clients und den Zertifizierungsstellen erheblich reduziert. Die reduzierte Serverlast führt zu einer verbesserten Leistung, insbesondere bei grossen Trafficvolumina. Ein herausragendes Beispiel ist Let's Encrypt, das beeindruckende 100.000 OCSP-Anfragen pro Sekunde bewältigen muss.

2. Verbesserte Privacy:

Wenn die Zertifikatsvalidierung serverseitig durchgeführt wird, haben die Zertifizierungsstellen keinen Einblick mehr in die URLs, die von den Clients aufgerufen werden. Dies trägt zur Wahrung der Privatsphäre der Benutzer bei.

Implementierung und Auswirkungen

Die Implementierung von OCSP Stapling ist relativ unkompliziert. Der Webserver extrahiert die OCSP-URL aus dem Zertifikat und überprüft regelmässig, ob das Zertifikat nicht revoziert wurde. Diese Information wird dann an den Client weitergegeben, der daraufhin keine weitere OCSP-Prüfung durchführt. In der Vergangenheit wurden die OCSP Stapling-Anfragen standardmässig bei aspectra über den Proxy-Out ausgeführt, was jedoch zu Störungen führen konnte, insbesondere wenn ein CDN ausfiel. Aus diesem Grund wurde beschlossen, diese Anfragen zukünftig direkt und nicht mehr über Proxy-Server durchzuführen, um die Stabilität und Zuverlässigkeit zu erhöhen.

Ausblick und Empfehlungen

In den kommenden Wochen wird unser Websecurity-Team alle Virtual Hosts entsprechend anpassen und OCSP Stapling auf den WAFs aktivieren. Dies gilt nun bei WAFs als neuen Standard in unserem Rechenzentrum. Kunden, die OCSP Stapling wünschen, können dies problemlos in ihrer Webserver-Konfiguration umsetzen, ohne sich um die Erreichbarkeit der OCSP-Server kümmern zu müssen. Zertifikate mit der Option "OCSP must Staple" können somit global verwendet werden.

Ob OCSP Stapling für alle Anwendungen erforderlich ist, ist eine Frage, die unterschiedliche Meinungen hervorruft. Kunden fragen selten danach, aber es ist ein wichtiges Kriterium, das von guten Pentestern berücksichtigt wird, insbesondere in Umgebungen mit hohem Sicherheitsbedarf. Daher finden wir es sinnvoll, serverseitiges OCSP Stapling als neuen Standard in WAF-Umgebungen zu definieren.

Quellen & Weiterführend:

1. OCSP  (OCSP Stapling) EN https://en.wikipedia.org/wiki/OCSP_stapling  / DE Online Certificate Status Protocol stapling – Wikipedia
2. Was ist OCSP Stapling und wie wird es verwendet? (SSL Dragon Blog)
3. Warum wir «Let’s Encrypt» unterstützen aspectra-Blog 06.09.2021