ネットワークエラーの OCSP チェックを強制する
攻撃者がオンライン証明書ステータスプロトコル (OCSP) チェックをバイパスしないように com.glide.communications.httpclient.ocsp_allow_network_error プロパティを設定する方法について説明します。
com.glide.communications.httpclient.ocsp_allow_network_errorが推奨値の false に設定されていない場合、オンライン証明書状態プロトコル (OCSP) チェックでネットワーク エラー (タイムアウトや失効情報の取得に関する問題など) が発生した場合、OCSP セキュリティ チェックはバイパスされ、成功したと見なされます。これにより、失効した証明書を持つ攻撃者が、Web の基盤となる公開キー基盤 (PKI) およびデジタル証明書の信頼を破る可能性があります。失効した証明書の使用は、サーバーが同期していない限り、多くの場合、悪意のあるアクティビティの指標となります。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | com.glide.communications.httpclient.ocsp_allow_network_error |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | false |
| デフォルト値 | true |
| カテゴリ | 通信 |
| セキュリティリスク |
|
| 依存関係と前提条件 | なし |
| 機能への影響 | このプロパティは、接続エラーまたはタイムアウト エラーが発生した場合に、機関情報アクセス (AIA) オンライン証明書状態プロトコル (OCSP) URI に対する要求が合格または失敗の結果になるかどうかを決定します。false に設定すると、提示されたサーバー証明書の失効状態を検証できず、そのエンドポイントとの通信エラーが発生します。プロパティがデフォルト値の true に設定されているときにネットワークエラーが発生した場合、証明書は失効の観点から有効として扱われます。 |