Configure OCSP Stapling

모든 새로운 TLS 연결은 브라우저가 보내진 인증서 체인의 서명을 반드시 확인해야할 필요가 있다. 그러나 우리가 잊어서는 안되는 중요한 한과정이 더있는데 그것은 브라우저가 해당 인증서가 폐기되었는지 확인하는 것이다.

인증서의 상태를 확인하기 위해서 브라우저는 몇가지 방법들을 사용한다. CRL(Certificate Revocation List), OCSP (Online Certificate Status Protocol) or OSCP Stapling 등이 있는데 각각의 방법들은 한계가 있다. 그러나 OCSP Stapling은 좀더 나은 보안과 성능을 보장한다. 서버에 OCSP Response Stapling을 포함하기 위해서 서버를 확인해보아야 한다. 설정을 하면 브라우저가 추가적인 네트웍 RTT 없이 폐기 여부를 확인하고 보안을 향상시킬 수 있다.

• OCSp response는 400byte~4000byte까지 다양한 크기를 가질수 있다 Stapling 은 인증서 체인의 크기를 증가시킬 수 있다. 전체 인증서 체인의 사이즈를 자세히 살펴보아 새로운 TCP 연결에 대한 초기 Congestion window를 초과하지 않는지를 확인해야 한다.
• 최근 OCSP Stalping 구현들은 하나의 OCSP 응답이 포함되도록 한다. 그말은 곧 브라우저가 다른 폐기 여부를 찾는 방법 대비책을 찾아야 한다. 만약 하나의 체인에서 다른 인증서를 확인해야 한다면 인증서 체인의 길이를 줄여야 한다. 나중에는 OCSP 다중 Stapling이 이러한 문제들을 해결해 줄 것이다.

대부분의 대중화된 서버들은 OCSP stapling을 제공한다. 서버를 지원하는 문서를 살펴보고 만약 CND을 결정하거나 사용한다면 TLS 상태를 체크하고 COSP Stapling을 설정하여 사용해보아야 한다.