Quali browser Web supportano la pinzatura OCSP? Le caratteristiche di privacy e prestazioni sono le stesse?

9

La pinzatura OCSP riduce il carico sul server OCSP dell'infrastruttura PKI allegando una risposta OCSP firmata alla destinazione in una connessione TLS. Inoltre, crea una sessione più sicura / privata poiché la CA non sa che il browser sta accedendo a un determinato sito. Alcune persone hanno confrontato questo comportamento con Kerberos.

Domanda

  • Quali browser web supportano la pinzatura OCSP?

  • Ci sono delle considerazioni sull'implementazione tra i diversi browser che devono essere indirizzate per mantenere privacy e prestazioni prestazioni uniformi?

posta random65537 15.03.2012 - 01:13
fonte

4 risposte

9

La mia impressione è che la graffatura OCSP non è supportata su il lato client , ma è possibile che le mie informazioni siano scadute.

Firefox sembra supportare la pinzatura OCSP, come da Firefox 26. (Grazie a Jan Schejbal per queste informazioni.)

Chrome supporta la pinzatura OCSP su Windows, Linux e ChromeOS . (Grazie a Kit Sunde per queste informazioni.) (Il team di Chrome ha ha deciso che prevede di rimuovere CRL e controlli OCSP regolari , ma non hanno disabilitato la pinzatura OCSP.)

Ho letto un rapporto che la maggior parte dei browser supporta la pinzatura OCSP su Windows .

Ecco alcune ulteriori informazioni su supporto browser per OCSP ( ma non pinzatura OCSP, sfortunatamente).

    
risposta data 15.03.2012 - 18:40
fonte
6

Puoi testare il supporto per la punzonatura OCSP nel tuo browser su link .

È in lingua ceca, se è possibile vedere OCSP_stapling_disabled, la pinzatura OCSP è disabilitata, OCSP_stapling_enabled significa che la pinzatura OCSP funziona.

    
risposta data 14.09.2012 - 13:48
fonte
3

IE lo ha supportato da Vista, Chrome lo supporta su Windows tramite CryptoAPI e su altre piattaforme tramite patch per NSS che ha reso Firefox non accettato, Opera lo ha supportato anche per diversi anni. Firefox ha il peggior comportamento di revoca di qualsiasi browser su un numero di fronti la sua mancanza di supporto della pinzatura OCSP è l'esempio più piccolo. Inoltre, Chrome continuerà a supportare la codifica OCSP e OCSP negli scenari aziendali che hanno fornito il proprio meccanismo di controllo delle revoche per una serie di motivi.

    
risposta data 01.05.2012 - 19:11
fonte
0

Anche con la pinzatura OCSP, l'atto di verificare la firma OCSP può esporre informazioni personali alla radice di firma OCSP. Inoltre, la radice vocale di OCSP può essere una terza parte dell'intera infrastruttura, come mostrato qui:

fonte

Sebbene vi siano vantaggi per la sicurezza nella convalida della firma OCSP della firma, se i problemi di privacy superano la sicurezza, la seguente estensione disattiva la funzionalità di firma szOID_PKIX_OCSP_NOCHECK (1.3.6.1.5.5.7.48.1.5) (si noti che spetta alla CA implementare questa estensione)

Se si desidera utilizzare CRL anziché OCSP, è possibile impostare la seguente impostazione su 1 o su zero su una macchina Windows

 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config\CryptnetCachedOcspSwitchToCrlCount
    
risposta data 02.06.2012 - 07:06
fonte