OCSP-Prüfung bei Netzwerkfehlern erzwingen [Neu in Security Center 1.3 und aktualisiert in 2.0]

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Erfahren Sie, wie Sie die Eigenschaft com.glide.communications.httpclient.ocsp_allow_network_error konfigurieren, um zu verhindern, dass böswillige Akteure OCSP-Prüfungen (Online Certificate Status Protocol) umgehen.

    Wenn com.glide.communications.httpclient.ocsp_allow_network_error nicht auf den empfohlenen Wert „false“ festgelegt ist und bei der OCSP-Prüfung (Online Certificate Status Protocol) ein Netzwerkfehler auftritt (z. B. Zeitüberschreitung oder Problem beim Abrufen der Sperrinformationen), wird die OCSP-Sicherheitsprüfung umgangen und berücksichtigt erfolgreich. Dies könnte es einem Angreifer mit einem widerrufenen Zertifikat ermöglichen, die Public Key Infrastructure (PKI) und das Vertrauen in digitale Zertifikate zu brechen, die für das Web von grundlegender Bedeutung sind. Die Verwendung widerrufener Zertifikate ist häufig ein Indikator für böswillige Aktivitäten, es sei denn, die Server sind nicht synchron.

    Stellen Sie sicher, dass die Eigenschaft com.glide.communications.httpclient.ocsp_allow_network_error vorhanden und auf „falsch“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.

    Weitere Informationen

    Attribut Beschreibung
    Konfigurationsname com.glide.communications.httpclient.ocsp_allow_network_error
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Datentyp boolean
    Empfohlener Wert falsch
    Standardwert wahr
    Kategorie Kommunikation
    Sicherheitsrisiko
    • Schweregrad-Punktzahl: 5,9
    • CVSS-Punktzahl: Mittel
    • Details zum Sicherheitsrisiko: Wenn diese Eigenschaft nicht auf „falsch“ festgelegt wird, kann ein böswilliger Akteur die OCSP-Sicherheitsprüfung umgehen.
    Abhängigkeiten und Voraussetzungen Keine
    Funktionale Auswirkung Diese Eigenschaft bestimmt, ob eine Anforderung an die Online Certificate Status Protocol(OCSP)-URI von Authority Information Access (AIA) im Falle eines Verbindungs- oder Zeitüberschreitungsfehlers zu „Bestanden“ oder „Nicht bestanden“ führt. Bei Festlegung auf „falsch“ kann der Widerrufstatus des vorgelegten Serverzertifikats nicht validiert werden und führt zu einem Kommunikationsfehler mit diesem Endpunkt. Wenn ein Netzwerkfehler auftritt, wenn die Eigenschaft auf den Standardwert true festgelegt ist, wird das Zertifikat unter Zurücknahmeaspekten als gültig behandelt.