ネットワークエラーに OCSP チェックを強制する (Security Center 1.3 の新機能、2.0 で更新)
攻撃者がオンライン証明書ステータスプロトコル (OCSP) チェックをバイパスしないように com.glide.communications.httpclient.ocsp_allow_network_error プロパティを構成する方法について説明します。
com.glide.communications.httpclient.ocsp_allow_network_error が推奨値の false に設定されていないときに 、オンライン証明書ステータスプロトコル (OCSP) チェックでネットワークエラー (タイムアウトや失効情報の取得に関する問題など) が発生した場合、OCSP セキュリティチェックがバイパスされ、チェックに成功したと見なされます。これにより、失効した証明書を持つ攻撃者が、Web の基盤となる公開鍵インフラストラクチャ (PKI) およびデジタル証明書の信頼を破壊する可能性があります。失効した証明書の使用は、サーバーが同期していない場合を除いて、多くの場合、悪意のあるアクティビティのインジケーターになります。
プロパティ com.glide.communications.httpclient.ocsp_allow_network_error が存在し、false に設定されていることを確認します。プロパティがsys_propertiesテーブルに含まれていない場合は、新しいレコードを追加してください。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | com.glide.communications.httpclient.ocsp_allow_network_error |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | false |
| デフォルト値 | true |
| カテゴリ | 通信 |
| セキュリティリスク |
|
| 依存関係と前提条件 | なし |
| 機能への影響 | このプロパティは、接続エラーまたはタイムアウトエラーが発生した場合に、機関情報アクセス (AIA) オンライン証明書ステータスプロトコル (OCSP) URI に対する要求が成功または失敗の結果になるかどうかを決定します。false に設定すると、提示されたサーバー証明書の失効ステータスを検証できないときに、そのエンドポイントとの通信エラーが発生します。プロパティがデフォルト値の true に設定されているときにネットワークエラーが発生した場合、証明書は失効しているという観点から有効として扱われます。 |