OCSP-Prüfung bei Netzwerkfehlern erzwingen [Neu in Security Center 1.3]
Erfahren Sie, wie Sie die Eigenschaft com.glide.communications.httpclient.ocsp_allow_network_error konfigurieren, um zu verhindern, dass schädliche Akteure OCSP-Prüfungen (Online Certificate Status Protocol) umgehen.
Wenn com.glide.communications.httpclient.ocsp_allow_network_error nicht auf den empfohlenen Wert „falsch“ festgelegt ist und bei der OCSP-Prüfung (Online Certificate Status Protocol) ein Netzwerkfehler auftritt (z. B. eine Zeitüberschreitung oder ein Problem beim Abrufen der Sperrinformationen), wird die OCSP-Sicherheitsprüfung umgangen it erfolgreich. Dies könnte es einem Angreifer mit einem widerrufenen Zertifikat ermöglichen, die Public Key-Infrastruktur (PKI) und das Vertrauen in digitale Zertifikate zu durchbrechen, die für das Web von grundlegender Bedeutung sind. Die Verwendung widerrufener Zertifikate ist häufig ein Indikator für böswillige Aktivität, es sei denn, die Server sind nicht synchron.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Konfigurationsname | com.glide.communications.httpclient.ocsp_allow_network_error |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Datentyp | boolean |
| Empfohlener Wert | false |
| Standardwert | Wahr |
| Kategorie | Kommunikation |
| Sicherheitsrisiko |
|
| Abhängigkeiten und Voraussetzungen | Keine |
| Funktionale Auswirkung | Diese Eigenschaft bestimmt, ob eine Anforderung an die AIA-URI (Online Certificate Status Protocol) im Falle eines Verbindungs- oder Zeitüberschreitungsfehlers zu einem positiven oder negativen Ergebnis führt. Bei „false“ kann der Sperrstatus des vorgelegten Serverzertifikats nicht validiert werden und führt zu einem Kommunikationsfehler mit diesem Endpunkt. Wenn ein Netzwerkfehler auftritt, wenn die Eigenschaft auf den Standardwert true festgelegt ist, wird das Zertifikat aus Sicht der Sperrung als gültig behandelt. |