ネットワークエラーに OCSP チェックを強制する
攻撃者がオンライン証明書ステータスプロトコル (OCSP) チェックをバイパスしないように com.glide.communications.httpclient.ocsp_allow_network_error プロパティを構成する方法について説明します。
com.glide.communications.httpclient.ocsp_allow_network_errorシステムプロパティが推奨値の false に明示的に設定されておらず、OCSP (オンライン証明書ステータスプロトコル) チェックでタイムアウトや失効データの取得失敗などのネットワーク関連の問題が発生した場合、システムはデフォルトで OCSP 検証を成功として扱います。
プロパティ com.glide.communications.httpclient.ocsp_allow_network_error が存在し、false に設定されていることを確認します。プロパティがシステムプロパティ [sys_properties] テーブルに含まれていない場合は、新しいレコードを追加します。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | com.glide.communications.httpclient.ocsp_allow_network_error |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | false |
| デフォルト値 | <なし> |
| フォールバック値 | true |
| カテゴリ | 通信 |
| セキュリティリスク |
|
| 依存関係と前提条件 | なし |
| 機能への影響 | このプロパティは、接続エラーまたはタイムアウトエラーが発生した場合に、機関情報アクセス (AIA) オンライン証明書ステータスプロトコル (OCSP) URI に対する要求が成功または失敗の結果になるかどうかを決定します。false に設定すると、提示されたサーバー証明書の失効ステータスを検証できないときに、そのエンドポイントとの通信エラーが発生します。プロパティがデフォルト値の true に設定されているときにネットワークエラーが発生した場合、証明書は失効しているという観点から有効として扱われます。 |