네트워크 오류에 OCSP 검사 강제 적용 [Security Center 1.3의 새로운 기능 및 2.0에서 업데이트됨]
악의적인 행위자가 OCSP(온라인 인증서 상태 프로토콜) 검사를 바이패스하지 못하도록 속성을 구성하는 com.glide.communications.httpclient.ocsp_allow_network_error 방법을 알아봅니다.
com.glide.communications.httpclient.ocsp_allow_network_error 권장 값인 false로 설정되지 않고 OCSP(온라인 인증 상태 프로토콜) 검사에서 네트워크 오류(예: 시간 초과 또는 해지 정보를 가져오는 문제)가 발생하면 OCSP 보안 검사를 바이패스하고 성공한 것으로 간주합니다. 이렇게 하면 해지된 인증서를 가진 공격자가 웹의 기반이 되는 PKI(공개 키 인프라) 및 디지털 인증서 신뢰를 깨뜨릴 수 있습니다. 해지된 인증서의 사용은 서버가 동기화되지 않은 경우가 아닌 한 악의적인 활동의 지표가 되는 경우가 많습니다.
속성이 com.glide.communications.httpclient.ocsp_allow_network_error 존재하고 false로 설정되어 있는지 확인합니다. 속성이 sys_properties 테이블에 표시되지 않으면 새 기록을 추가합니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 구성 이름 | com.glide.communications.httpclient.ocsp_allow_network_error |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 데이터 유형 | 부울 |
| 권장 값 | 아니오 |
| 기본값 | 예 |
| 범주 | 커뮤니케이션 |
| 보안 위험 |
|
| 의존성 및 필수 구성요소 | 안 함 |
| 기능적 영향 | 이 속성은 연결 또는 시간 초과 오류 발생 시 AIA(발급자 정보 접근) OCSP(온라인 인증 상태 프로토콜) URI에 대한 요청이 통과 또는 실패 결과를 초래하는지 여부를 판별합니다. false로 설정하면 제공된 서버 인증서의 해지 상태를 확인할 수 없으며 해당 엔드포인트와의 통신이 실패합니다. 속성이 기본값인 true로 설정된 경우 네트워크 오류가 발생하면 인증서는 해지 관점에서 유효한 것으로 처리됩니다. |