Closed alranel closed 5 years ago
Salve, (IMHO) entrambe le strade sono valide. C'è da tenere di conto 3 aspetti: Affidabilità del controllo
Nella mia esperienza oggi si utilizza ocsp e in caso di disservizio della CA (molto raro ma possibile) viene attivato l'uso della crl copiata in locale precedentemente .
E' da tenere di conto che l'indisponibilità di un servizio ocsp di una CA accreditata come servizio fiduciario, pur possibile, è da considerarsi molto raro.
Tutto questo detto, per attivare ocsp sulla configurazione attuale dovrebbe bastare inserire queste righe:
SSLUseStapling On
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling(32768)
in ssl.conf come ultima direttiva prima dei blocchi di virtualhosts
Buongiorno. Fin dalla prima versione del progetto, l'OCSP Stapling è attivo e la configurazione è presente all'interno del file di configurazione configs/httpd/ssl-params.conf
L'evidenza dell'attivazione è visibile anche dal test eseguito via ssllabs.
L'output di questo comando mostra una sezione che dice se il server web ha risposto con i dati OCSP.
echo QUIT | openssl s_client -connect cns.dontesta.it:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'
Per completezza allegato l'esito completo SSL Server Test_ cns.dontesta.it (Powered by Qualys SSL Labs).pdf
Quello che non ho preferito attivare di default è l'OCSP per la validazione della chain dei certificati lato client.
Aggiornerò il README con qualche nota sull'OCSP.
Grazie.
Ciao @alranel e @lucabonuccelli Ho aggiornato la documentazione circa le note su OCSP e CRL.
Fatemi sapere se posso chiudere la issue.
Grazie e buon weekend
Credo che la issue possa essere chiusa.
Al momento il web server predisposto da questa immagine Docker non verifica se il certificato sia stato revocato. Sarebbe utile configurarlo in modo che esegua questa verifica via OCSP, gestendo anche il caso dell'interrogazione fallita (mediante visualizzazione di una pagina di errore oppure interrogazione di una CRL locale scaricata periodicamente dall'URL ufficiale).
La configurazione potrebbe anche essere lasciata commentata, ma in tal caso dovrebbe essere documentata nel README. Questa cosa andrebbe fatta sia per CIE sia per CNS.
Concordi @lucabonuccelli?