Vor welcher Art von Angriff schützt ssl_stapling auf NGINX?

SSL-Stapling bedeutet, dass Sperrinformationen zum Serverzertifikat (also die OCSP-Antwort) zusammen mit dem Serverzertifikat in den TLS-Handshake aufgenommen werden. Es handelt sich derzeit eher um eine Verkehrsoptimierung, da keine zusätzliche OCSP-Anfrage erforderlich ist (was bei Browsern normalerweise ohnehin nicht der Fall ist).

Es ist ein Sicherheitsmerkmal, wenn der Browser darauf besteht, die OCSP-Antwort zu heften. In diesem Fall wird es verhindern, dass ein MITM ein widerrufenes Zertifikat für die Domäne verwendet, um den Datenverkehr zu kapern und die OCSP-Anfrage/-Antwort einfach zu blockieren. Browser geben oft einfach auf, wenn die OCSP-Abfrage fehlschlägt, und daher kann dieser Angriff funktionieren. Aber noch einmal: Die meisten Browser verwenden OCSP überhaupt nicht mehr, sondern verwenden stattdessen alternative (und noch weniger zuverlässige) Mechanismen - sieheWie gehen Browser mit widerrufenen SSL/TLS-Zertifikaten um?.

Die Anforderung zur Verwendung von OCSP-Stapling kann eine Eigenschaft des Zertifikats selbst sein (OCSP-Must-Stapling-Erweiterung), d. h. es kann zu einem Fehler führen, wenn Sie über ein solches Zertifikat verfügen, die OCSP-Antwort jedoch nicht geheftet haben.

Zertifikate haben CRL-Listen, die zeigen, dass sie widerrufen wurden. Heften ist eine alternative Möglichkeit, dies zu tun. Wenn Sie dies aktivieren, muss Ihr Zertifikatsaussteller diese Funktion meiner Meinung nach auch unterstützen. Ich habe unten einen Link angehängt, der die Einrichtung auf nginx erläutert.

https://www.digicert.com/kb/ssl-support/nginx-enable-ocsp-stapling-on-server.htm

Nach dem, was ich bisher darüber gelesen habe, scheint es nicht so, als ob Heften MITM verhindert. Es ändert nur die Art und Weise, wie ein Zertifikat überprüft wird, ob es gültig und nicht abgelaufen oder widerrufen ist.

https://www.digicert.com/kb/enabling-ocsp-stapling.htm