Appliquer la vérification OCSP en cas d’erreur réseau [Nouveau dans Security Center 1.3]

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Découvrez comment configurer la propriété pour empêcher les com.glide.communications.httpclient.ocsp_allow_network_error acteurs malveillants de contourner les vérifications du protocole OCSP (Online Certificate Status Protocol).

    Si elle n’est pas définie sur la valeur recommandée, faux, et que com.glide.communications.httpclient.ocsp_allow_network_error la vérification du protocole OCSP (Online Certificate Status Protocol) rencontre une erreur réseau (par exemple, un délai d’expiration ou un problème lors de l’extraction des informations de révocation), elle contourne la vérification de sécurité OCSP et considère qu’elle a réussi. Cela pourrait permettre à un attaquant avec un certificat révoqué de casser l’infrastructure de clé publique (PKI) et la confiance du certificat numérique qui est fondamentale pour le Web. L’utilisation de certificats révoqués est souvent un indicateur d’activité malveillante, sauf si les serveurs ne sont pas synchronisés.

    En savoir plus

    Attribut Description
    Nom de la configuration com.glide.communications.httpclient.ocsp_allow_network_error
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données booléen
    Valeur recommandée faux
    Valeur par défaut VRAI
    Catégorie Communications
    Risque de sécurité
    • Score de gravité : 5,9
    • Score CVSS : moyen
    • Détails du risque de sécurité : Si vous ne définissez pas cette propriété sur faux, un acteur malveillant peut contourner le contrôle de sécurité OCSP.
    Dépendances et prérequis Aucun
    Impact fonctionnel Cette propriété détermine si une demande relative à l’URI du protocole OCSP (Online Certificate Status Protocol) AIA (Authority Information Access) aboutit à une réussite ou à un échec en cas d’erreur de connexion ou de délai d’expiration. Lorsqu’il est défini sur faux, l’état de révocation du certificat de serveur présenté ne peut pas être validé et entraîne une défaillance de la communication avec ce point de terminaison. Si une erreur de réseau se produit lorsque la propriété est définie sur sa valeur par défaut true, le certificat est considéré comme valide du point de vue de la révocation.