Impor verificação de OCSP em caso de erro de rede [Novo na Central de segurança 1.3 e atualizado na 2.0]

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Aprenda a configurar a propriedade com.glide.communications.httpclient.ocsp_allow_network_error para impedir que agentes mal-intencionados burlem as verificações do OCSP (Online Certificate Status Protocol, Protocolo de status de certificado on-line).

    Se o com.glide.communications.httpclient.ocsp_allow_network_error não estiver definido com o valor recomendado de "falso", e a verificação do OCSP (Online Certificate Status Protocol, Protocolo de status de certificado on-line) estiver encontrando um erro de rede (por exemplo, um tempo limite ou um problema ao obter as informações de revogação), a verificação de segurança do OCSP será ignorada e considerada bem-sucedida. Isso pode permitir que um invasor com um certificado revogado quebre a infraestrutura de chave pública (PKI) e a confiança do certificado digital que é fundamental para a Web. O uso de certificados revogados geralmente é um indicador de atividade mal-intencionada, a menos que os servidores estejam fora de sincronia.

    Certifique-se de que a propriedade com.glide.communications.httpclient.ocsp_allow_network_error exista e esteja definida como falsa. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.

    Mais informações

    Atributo Descrição
    Nome da configuração com.glide.communications.httpclient.ocsp_allow_network_error
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados booliano
    Valor recomendado falso
    Valor padrão verdadeiro
    Categoria Comunicação
    Risco à segurança
    • Pontuação de gravidade: 5,9
    • Pontuação do CVSS: média
    • Detalhes do risco à segurança: não definir esta propriedade como falsa pode permitir que um agente mal-intencionado ignore a verificação de segurança do OCSP.
    Dependências e pré-requisitos Nenhum(a)
    Impacto funcional Esta propriedade determina se uma solicitação em relação ao URI do OCSP (Online Certificate Status Protocol, Protocolo de status de certificado on-line) de AIA (Authority Information Access, acesso a informações de autoridade) resultará em um resultado de aprovação ou falha, em caso de erro de conexão ou erro de tempo limite. Quando definido como falso, o status de revogação do certificado do servidor apresentado não pode ser validado e levará a uma falha de comunicação com esse endpoint. Se ocorrer um erro de rede enquanto a propriedade estiver definida com o valor padrão verdadeiro, o certificado será tratado como válido do ponto de vista de revogação.