Miksi selain käy https-sivua avattaessa ocsp.entrust.net -palvelussa?

Kun avaat selaimella jonkun https-muotoisen kotisivun, käy selaimesi tyypillisesti tarkastamassa, onko kyseisen sivuston SSL-varmenne sulkulistalla. Tämän se voi tehdä esimerkiksi varmennetoimittajan ylläpitämästä Online Certificate Status Protocol -palvelusta. Jos kohdesivustolla on Entrustin varmenne, tämä palvelu on osoitteessa ocsp.entrust.net. Alla on hieman lisää tästä aiheesta.

Kun kotisivusto on muotoa https://xxxx, on sivustolla SSL-varmenne, joka osaltaan tekee liikenteestä selaimen ja palvelimen välillä salattua. Ulkopuoliset eivät siihen pääse kiinni. Lisäksi OV ja EV -tasoiset SSL-varmenteet antavat sivustolle turvallisen sähköisen identiteetin.

SSL-varmenne myönnetään yleensä 1 tai 2 vuodeksi, minkä jälkeen se vanhenee. SSL-varmenne voidaan myös deaktivoida kesken elinkaarensa, jolloin se kirjataan varmennetoimittajan (Certificate Authority eli CA) ylläpitämälle sulkulistalle. Tyypillisiä tilanteita sulkulistalle kirjaamiseen ovat varmenteiden muutokset. Varmenteeseen voidaan vaikka lisätä uusi domain. Syntyy uusi varmenneversio ja vanha laitetaan sulkulistalle. Mutta varmenne voi joutua myös sulkulistalle, jos sen tietoturva on vaarantunut. Tällöin on tärkeää, etteivät selaimet hyväksy kyseisellä varmenteella suojattua sivustoa.

CA ylläpitää yleensä sulkulistaa kahdessa muodossa: Certificate Revocation List (CRL) on koko sulkulista, jonka voi ladata CA:n palvelusta. Online Certificate Status Protocol (OCSP) on nopeampi, koska selain voi kysyä vain yhden varmenteen statuksen. Lisäksi esimerkiksi Entrust käyttää esimerkiksi Akamai-palvelua kyselyjen nopeuttamiseen. Entrustin OCSP-listaa ylläpidetään tuhansilla palvelimilla eri puolilla maailmaa. Näin selain löytää nopeasti Entrustin OCSP-palvelun ja saa sulkulistatiedon. Entrustilla onkin yksi markkinoiden nopeimmista sulkulistapalveluista. Tästä löytyy lisää tietoa Entrustin sulkulistapalvelun nopeudesta.

Eri selaimet toimivat eri tavoin sulkulistatarkistuksissa. Esim. Chrome, jota käytetään yli 60 % kaikesta selaamisesta, ei tee OCSP-tarkastuksia ollenkaan. Chrome käyttää omaa sisäänrakennettua sulkulistaa, CRLSets. On myös mahdollista passivoida selaimesta sulkulistakyselyt. Tällöin periaatteessa nopeutetaan selaamista tietoturvan kustannuksella.

Lisää tietoa aiheesta: https://www.wesentra.com tai info(at)wesentra.com

Vastaa