OCSP - Narušitel Vašeho soukromí
Věděli jste, že kdykoliv se podíváte např. do banky, nebo navštívíte jinou zabezpečenou stránku, automaticky o tom posíláte informaci firmě, od níž má banka certifikát? Ne? Ono to tak nemusí být vždy, ale v drtivé většině případů tomu tak je. Mohou za to právě ďábelská čtyři písmenka v nadpisu tohoto článku, bližší vysvětlení níže:

OCSP, aneb velký bratr Vás vidí

OCSP protokol je tu proto, aby ověřil, zda stránka, kterou se snažíte navštívit, je v pořádku, zda nedošlo k odvolání certifikátu např. z důvodu narušení stránky atd.

Nicméně většina internetových prohlížečů to s tím ověřováním trochu přehání a pokaždé, když spustíte prohlížeč a přihlásíte se do banky, se Váš prohlížeč zeptá certifikační autority, od níž má banka certifikát, zda je certifikát v pořádku. Díky tomu má certifikační autorita poměrně detailní informace o tom, z jaké IP adresy se připojujete a kdy. Že se Vám nelíbí, aby nějaká cizí, v drtivé většině případů zahraniční, firma měla přehled o tom, jaké zabezpečené stránky navštěvujete? Potom čtěte dále.

Možná řešení

Řešení jsou následující:

1. pořídit si naše VPN - Asi nejjednodušší řešení, používejte naše VPN a Vaše pravá IP se v záznamech certifikačních autorit neobjeví

2. Vypněte OCSP, nebo používejte prohlížeč který OCSP ověřování nedělá. Např. Google Chrome v posledních verzích OCSP validaci vůbec neprovádí (ve standartním nastavení), např. u Firefoxu je možné OCSP validaci vypnout v rozšířeném nastavení na kartě Šifrování, po kliknutí na tlačítko Ověřování. Příjdete tím ale o kontrolu odvolání certifikátů, alespoň čas od času doporučujeme kontrolu odvolání provést, např. se zapnutým VPN.

3. Používejte prohlížeč, který podporuje tzv. OCSP stapling.

OCSP stapling

OCSP stapling je rozšíření protokolu OCSP, kdy se na platnost certifikátu zeptá certifikační autority přímo stránka, na níž se připojujete a tuto odpověď Vám potom posílá. Odpověď od certifikační autority je samozřejmě podepsaná onou certifikační autoritou, takže je plně důvěryhodná a Vaše soukromí není nijak narušováno. OCSP stapling má také pozitivní vliv na rychlost, Váš prohlížeč se nemusí připojovat kvůli ověření certifikátu někam do „tramtárie“, ale získá odpověď přímo od stránky, kterou se chystáte navštívit (certifikační autorita je na platnost certifikátu dotazována jen jednou za čas a tato odpověď je poté poskytována všem návštěvníkům).

Nevýhody OCSP staplingu

Nevýhody OCSP staplingu jsou popsány níže:

1. Tento druh ověřování prozatím nepodporují všechny prohlížeče, např. u Firefoxu tato funkce úplně chybí. Chcete-li mít jistotu, že Váš prohlížeč OCSP stapling podporuje, používejte aktuální verzi Opery.

2. Ne všechny stránky OCSP stapling podporují. My samozřejmě ano (na soukromí svých návštěvníků dbáme), ale pokud jde např. o internetová bankovnictví, námátkovou kontrolou se nám nepodařilo objevit žádnou českou banku, která OCSP stapling podporuje.

3. Tento způsob ověřování není možné použít, pokud stránka používá více, než jeden certifikát.

Test, zda Váš prohlížeč OCSP stapling podporuje, si můžete udělat zde.

Závěr

Situace okolo zabezpečeného přístupu na stránky dnes rozhodně není ideální a v případě, kdy mají OCSP servery certifikační autority nějaký výpadek, může dojít dokonce k omezení dostupnosti stránek a jejich provozovatelé nemají šanci s tím cokoliv udělat. Ideálním řešením je právě OCSP stapling, který minimálně krátkodobé výpadky umí překlenout a samozřejmě používání našich VPN.

Jste-li našimi klienty a máte-li problém s přístupem na některé stránky, neváhejte a obraťe se na nás. Svým klientům poskytujeme základní konzultace v oblasti IT zdarma, v případě problémů jsme tak schopni pomoci radou, jak výpadek OCSP serverů a další problémy řešit.
 

chalupy k pronajmutí Orlické hory