Новый функционал: OCSP Stapling и поддержка must-staple сертификатов

Обложка новости: OCSP Stapling в услуге защиты сайта от DDoS

Для пользователей услуги защиты сайта от DDoS теперь доступны функции для работы с OCSP. Расскажем что это и для чего нужно.

Что такое OCSP и OCSP Stapling

OCSP (Online Certificate Status Protocol) используется чтобы узнать, не отозван ли SSL-сертификат. У такого способа проверки сертификата есть преимущества перед альтернативой в виде списка отозванных сертификатов (CRL, Certificate Revocation List): ответ OCSP по конкретному сертификату «весит» гораздо меньше и загружается быстрее, чем весь список отозванных сертификатов, особенно для больших центров сертификации. Кроме того, OCSP пометит поддельный сертификат как отозванный, даже если его еще нет в CRL.

Есть и недостатки: ожидание OCSP-ответа может замедлить загрузку страницы, особенно когда OCSP-сервер перегружен. Каждый посетитель сайта создает новый запрос к OCSP-серверу, и либо ждет ответа для загрузки страницы, либо рискует безопасностью подключения (если браузер по умолчанию разрешает загрузку без OCSP).

Чтобы компенсировать эти недостатки, используется OCSP Stapling — «сшивание» OCSP-ответа с SSL-рукопожатием. Сервер кэширует актуальный OCSP-ответ и отправляет его всем пользователям. Это повышает скорость работы OCSP и уменьшает зависимость от доступности OCSP-сервера.

Чтобы использовать OCSP как надежный механизм проверки статуса сертификата, используются must-staple сертификаты. Они не позволяют установить соединение без «сшитого» с рукопожатием OCSP-ответа.

OCSP Stapling в разделе SSL сертификатов — личный кабинет DDoS-Guard

 

Что изменилось для клиентов

Главное нововведение — поддержка must-staple сертификатов для защищаемых доменов. Это важно для клиентов, которые уже выпустили must-staple сертификаты или планируют переходить на них. При загрузке такого сертификата OCSP Stapling включится автоматически.

Также у всех наших клиентов появилась возможность включить OCSP Stapling при загрузке любого стороннего сертификата — это позволит исключить задержки при загрузке сайта из-за долгого ожидания OCSP-ответа.

Следить за статусом OCSP можно на вкладке SSL в личном кабинете DDoS-Guard.

Функция доступна на тарифе Medium и выше, для других тарифов и услуг — по запросу.

Поделиться:

Читайте также

1920x1080 Защита сайта от DDoS_ тестовый период.png

Акции

Тестовый период услуги «Защита сайта от DDoS-атак» для новых клиентов

Делимся новыми возможностями и рассказываем об обновлении тестового периода.

1 мин
264
1920x1080 (1).jpg

Обновления

Обновление облачных сервисов и модулей L7-защиты

Рассказываем о свежих релизах, которые сделают настройку услуг удобнее и помогут клиентам получать больше информации о защищаемых ресурсах.

3 мин
390
1920x1080 Большое обновление статистики.png

Обновления

Большое обновление статистики L7-защиты

Личный кабинет стал еще удобнее: новые графики, триггеры и геоблокировки.

4.1 мин
746