我在 NGINX 中有這兩個設定:
ssl_stapling on;
ssl_stapling_verify on;
這之前可以工作,但在我重新安裝作業系統後就停止工作了。我想知道可能是什麼問題。另外,在 MITM 類型的場景中,ssl_stapling 和 ssl_stapling_verify 可以防禦什麼類型的攻擊?如果存在可防禦某些內容的攻擊,我可以採取哪些措施來減輕攻擊的有效性?
答案1
SSL 裝訂表示有關伺服器憑證的撤銷資訊(即 OCSP 回應)與伺服器憑證一起包含在 TLS 握手中。目前它更多的是一種流量優化,因為不需要額外的 OCSP 請求(瀏覽器通常不需要)。
如果瀏覽器堅持要求裝訂 OCSP 回應,這將是一項安全功能。在這種情況下,它將阻止某些 MITM 使用已撤銷的網域憑證來劫持流量並簡單地阻止 OCSP 請求/回應。如果 OCSP 查詢失敗,瀏覽器通常會放棄,因此這種攻擊可以發揮作用。但同樣,大多數瀏覽器根本不再使用 OCSP,而是使用替代(甚至不太可靠)機制 - 請參閱瀏覽器如何處理被撤銷的 SSL/TLS 憑證?。
使用 OCSP 裝訂的要求可能是憑證本身的屬性(OCSP-must-staple 擴充),即,如果您擁有此類憑證但未裝訂 OCSP 回應,則可能會導致失敗。
答案2
證書具有 CRL 列表,表示該證書已被撤銷。裝訂是實現此目的的另一種方法。如果您啟用此功能,我認為您的憑證授權者也必須支援此功能。我在下面附加了一個鏈接,詳細介紹瞭如何在 nginx 上進行設定。
https://www.digicert.com/kb/ssl-support/nginx-enable-ocsp-stapling-on-server.htm
從我目前所讀到的內容來看,裝訂似乎並不能阻止 MITM。它只是改變了檢查憑證是否有效且未過期或撤銷的方式。