lucabonuccelli
commented
5 years ago Salve, (IMHO) entrambe le strade sono valide. C'è da tenere di conto 3 aspetti: Affidabilità del controllo
- con ocsp nessuno
- con CRL in funzione del ritardo nell'aggiornamento della CRL locale semplicità di gestione
- ocsp molto semplice, basta avere connettività
- CRL occorre scaricare le CRL robustezza ad un disservizio nel raggiungere la CA
- con oscp il disservizio si propaga
- con CRL il disservizio non si propaga fino alla scadenza della copia locale
Nella mia esperienza oggi si utilizza ocsp e in caso di disservizio della CA (molto raro ma possibile) viene attivato l'uso della crl copiata in locale precedentemente .
E' da tenere di conto che l'indisponibilità di un servizio ocsp di una CA accreditata come servizio fiduciario, pur possibile, è da considerarsi molto raro.
Tutto questo detto, per attivare ocsp sulla configurazione attuale dovrebbe bastare inserire queste righe:
SSLUseStapling On
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling(32768)
in ssl.conf come ultima direttiva prima dei blocchi di virtualhosts
amusarra
Al momento il web server predisposto da questa immagine Docker non verifica se il certificato sia stato revocato. Sarebbe utile configurarlo in modo che esegua questa verifica via OCSP, gestendo anche il caso dell'interrogazione fallita (mediante visualizzazione di una pagina di errore oppure interrogazione di una CRL locale scaricata periodicamente dall'URL ufficiale).
La configurazione potrebbe anche essere lasciata commentata, ma in tal caso dovrebbe essere documentata nel README. Questa cosa andrebbe fatta sia per CIE sia per CNS.
Concordi @lucabonuccelli?