Știri, teme interesante

Dezvoltări de fundal în cadrul ultimei actualizări


OCSP Stapling

Pornirea mai rapidă a softului client, trafic mai redus de date, setarea mai simplă a barierelor de securitate (firewall): acestea sunt noutățile asigurate de ultima actualizare.

La VCC Live lucrăm încontinuu ca să dezvoltăm noi funcții pentru mijloacele de gestionare a softurilor noastre. Dar pe lângă acestea, mai lucrăm și la multe alte actualizări; ne străduim ca serviciile noastre existente să devină mai bune și mai rapide. O asemenea dezvoltare am lansat și cu ocazia ultimei actualizări al softului client, care a constat la trecerea la sistemul OCSP (Online Certificate Status Protocol) stapling, aceasta asigurând o creștere mai redusă a performanțelor.

În vederea realizării unei comunicări securizate prin internet, de către clientul VCC Live, aceasta utilizează protocoale de cifrare, care, în cazul acestui client este protocolul TLS 1.2 (Transport Layer Security). Aceste protocoale sunt răspunzătoare de cifrarea segmentelor conexiunilor de rețea. Dar pentru o cifrare corespunzătoare, este necesară și o certificare validă (certificare digitală x.509).

Dar validitatea acestora poate fi revocată de prestatorii de servicii de autentificare pentru mai multe motive, de exemplu un atac informatic de spargere, ori o scurgere de date. Astfel, clientul VCC Live va solicita, la fiecare pornire, validitatea certificatelor, de pe serverul OCSP al furnizorului de servicii de autentificare (în cazul de față, de pe ocsp.godaddy.com). Verificare se poate realiza prin mai multe modalități.

Una dintre acestea se referă la verificarea datei de validitate, înscrisă în certificat. Aceasta este cea mai simplă metodă de verificare a validității, de nu este nici pe departe 100% sigură. Există posibilitatea ca titularul certificatului să semnaleze, către emitent, că respectivul certificat nu mai este valid. Furnizorii de servicii de autentificare au posibilitatea ca, prin protocolul OCSP, să dea acces la datele privind validitatea unui anumit certificat, având o anume serie, în baza datelor din propriul lor sistem. Certificatele au și o dată de expirare, a cărei revocare se utilizează acest protocol. După verificarea validității, și în funcție de răspunsul serverului OCSP, clientul va evalua certificatul ca fiind acceptat, sau refuzat.

O veste bună este că protocolul TLS susține comunicarea directă a datelor de autentificare între serverul VCC și clientul VCC, astfel ca conținutul comunicării OCSP să fie nemodificat și autentic. Această metodă este utilizată și de soluția implementată acum, cea a OCSP Stapling. De acum înainte serverul VCC Live va verifica, prin serverul OCSP, autenticitatea certificatului, după care va anexa datele semnate, în mod autentic, de către emitent, la comunicarea din partea clientului.

Astfel clientul VCC Live nu mai accesează serverul OCSP, iar datorită acestui fapt clientul VCC Live pornește mai rapid și nu generează trafic inutil de date. Mai mult, nu trebuie desemnată, în plus o adresă IP/un port către serverul OCSP, – așa cum prevedea regula OCSP a VCC -, simplificând, și prin aceasta, setările necesare. Această setare a firewall-ului poate fi revocată de administratorul de sistem.