どのWebブラウザーがOCSPステープリングをサポートしていますか?プライバシーとパフォーマンスの機能は同じですか?
OCSPステープリングは、TLS接続でターゲットに署名済みOCSP応答を添付することにより、PKIインフラストラクチャのOCSPサーバーの負荷を軽減します。さらに、ブラウザが特定のサイトにアクセスしていることをCAが認識していないため、より安全でプライベートなセッションが作成されます。この動作をKerberosと比較する人もいます。
質問
どのWebブラウザーがOCSPステープリングをサポートしていますか?
統一されたプライバシーとパフォーマンスの利点を維持するために対処する必要があるさまざまなブラウザー間の実装に関する考慮事項はありますか?
私の印象は OCSPステープリングはクライアント側では十分にサポートされていない ですが、私の情報が古くなっている可能性があります。
Firefox 26の時点で、FirefoxはOCSPステープリングをサポートしているようです(この情報についてはJan Schejbalに感謝します)。
ChromeはOCSPステープリングをサポートしています Windows、Linux、およびChromeOS 。 (この情報については、Kit Sundeに感謝します。)(Chromeチームは decided 彼らが計画している CRLと通常のOCSPチェックを削除する 、ただし、OCSPステープリングは無効にしていません。)
ほとんどのブラウザはWindowsでのOCSPステープリングをサポートしています というレポートを1つ読んだことがあります。
ブラウザによるOCSPのサポート の詳細を次に示します(ただし、残念ながらOCSPステープリングは対象外です)。
http://www.vpnhosting.cz/ocsp のブラウザでOCSPステープリングサポートをテストできます。
これはチェコ語です。OCSP_stapling_disabled、OCSPステープリングが無効になっている場合、OCSP_stapling_enabledはOCSPステープリングが機能することを意味します。
IEはVista以降、これをサポートしています。Chrome WindowsではCryptoAPIを介して、他のプラットフォームではNSSへのパッチを介してサポートしています。Firefoxが受け入れられなかったため、Opera Firefoxも数年間サポートしていました。Firefoxは、あらゆるブラウザで最悪の失効動作を示しており、OCSPステープリングのサポートの欠如が最小の例です。また、Chromeは引き続きOCSPをサポートし、エンタープライズシナリオでのOCSPステープリングは、さまざまな理由で独自の失効確認メカニズムを提供しています。
OCSPステープリングを使用しても、OCSP署名を検証する行為により、個人情報がOCSP署名ルートに公開される可能性があります。さらに、次に示すように、OCSPの歌唱ルートは、インフラストラクチャ全体のサードパーティになることができます。
署名OCSP署名の検証にはセキュリティ上の利点がありますが、プライバシーの懸念がセキュリティに勝る場合は、次の拡張機能が署名機能を無効にしますszOID_PKIX_OCSP_NOCHECK (1.3.6.1.5.5.7.48.1.5)(この拡張機能を実装するのはCAに任されていることに注意してください)
OCSPの代わりにCRLを使用する場合は、Windowsマシンで次の設定を1または0に設定できます。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config\CryptnetCachedOcspSwitchToCrlCount