Appliquer la vérification OCSP en cas d’erreur réseau [Nouveau dans Security Center 1.3]

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Découvrez comment configurer la propriété pour empêcher les com.glide.communications.httpclient.ocsp_allow_network_error acteurs malveillants de contourner les vérifications du protocole OCSP (Online Certificate Status Protocol).

    Si com.glide.communications.httpclient.ocsp_allow_network_error elle n’est pas définie sur la valeur conseillée, faux, et que la vérification du protocole OCSP (Online Certificate Status Protocol) rencontre une erreur réseau (par exemple, un délai d’expiration ou un problème lors de l’extraction des informations de révocation), elle contourne la vérification de sécurité OCSP et la considère comme réussie. Cela pourrait permettre à un attaquant disposant d’un certificat révoqué de briser l’infrastructure à clé publique (PKI) et la confiance du certificat numérique qui est fondamentale pour le Web. L’utilisation de certificats révoqués est souvent un indicateur d’activité malveillante, à moins que les serveurs ne soient désynchronisés.

    En savoir plus

    Attribut Description
    Nom de la configuration com.glide.communications.httpclient.ocsp_allow_network_error
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données booléen
    Valeur recommandée faux
    Valeur par défaut VRAI
    Catégorie Communications
    Risque de sécurité
    • Score de gravité : 5,9
    • Score CVSS : moyen
    • Détails des risques de sécurité : Si vous ne définissez pas cette propriété sur faux, un acteur malveillant peut contourner le contrôle de sécurité OCSP.
    Dépendances et prérequis Aucun
    Impact fonctionnel Cette propriété détermine si une demande contre l’URI OCSP (Online Certificate Status Protocol) de l’accès aux informations de l’autorité (AIA) entraîne une réussite ou un échec en cas d’erreur de connexion ou de délai d’expiration. Lorsqu’il est défini sur faux, l’état de révocation du certificat de serveur présenté ne peut pas être validé et entraîne une défaillance de communication avec ce point de terminaison. Si une erreur de réseau se produit lorsque la propriété est définie sur sa valeur par défaut true, le certificat est traité comme valide du point de vue de la révocation.