Configuração de certificado de servidor para grampeamento OCSP - AWS IoT Core
O que é OCSP?Como funciona o grampeamento OCSPAtivando o grampeamento OCSP do certificado do servidor em AWS IoT CoreNotas importantes sobre o uso do grampeamento OCSP do certificado de servidor em AWS IoT CoreSolução de problemas de grampeamento OCSP do certificado de servidor AWS IoT Core

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração de certificado de servidor para grampeamento OCSP

AWS IoT Core suporta grampeamento OCSP (Online Certificate Status Protocol) para certificado de servidor, também conhecido como grampeamento OCSP de certificado de servidor ou grampeamento OCSP. É um mecanismo de segurança usado para verificar o status de revogação no certificado do servidor em um handshake de Transport Layer Security (TLS). O grampeamento OCSP AWS IoT Core permite que você adicione uma camada adicional de verificação à validade do certificado do servidor do seu domínio personalizado.

Você pode habilitar o grampeamento OCSP do certificado do servidor AWS IoT Core para verificar a validade do certificado consultando o respondente OCSP periodicamente. A configuração de grampeamento OCSP faz parte do processo para criar ou atualizar uma configuração de domínio com um domínio personalizado. O grampeamento OCSP verifica continuamente o status de revogação no certificado do servidor. Isso ajuda a verificar se os certificados que foram revogados pela CA não são mais confiáveis para os clientes que se conectam aos seus domínios personalizados. Para ter mais informações, consulte Ativando o grampeamento OCSP do certificado do servidor em AWS IoT Core.

O grampeamento OCSP do certificado de servidor fornece verificação do status da revogação em tempo real, reduz a latência associada à verificação do status da revogação e melhora a privacidade e a confiabilidade das conexões seguras. Para obter mais informações sobre os benefícios do uso do grampeamento OCSP, consulte. Benefícios do uso do grampeamento OCSP em comparação com as verificações OCSP do lado do cliente

nota

Esse recurso não está disponível em AWS GovCloud (US) Regions.

O que é OCSP?

Principais conceitos

Os conceitos a seguir fornecem detalhes sobre o OCSP e conceitos relacionados.

OCSP

O OCSP é usado para verificar o status de revogação do certificado durante o handshake TLS (Transport Layer Security). O OCSP permite a validação de certificados em tempo real. Isso confirma que o certificado não foi revogado ou expirou desde que foi emitido. O OCSP também é mais escalável em comparação com as Listas de Revogação de Certificados (CRLs) tradicionais. As respostas OCSP são menores e podem ser geradas com eficiência, tornando-as mais adequadas para infraestruturas de chave privada (PKIs) de grande escala.

Respondente OCSP

Um respondente OCSP (também conhecido como servidor OCSP) recebe e responde às solicitações OCSP de clientes que buscam verificar o status de revogação dos certificados.

OCSP do lado do cliente

No OCSP do lado do cliente, o cliente usa o OCSP para contatar um respondente OCSP para verificar o status de revogação do certificado durante o handshake TLS (Transport Layer Security).

OCSP do lado do servidor

No OCSP do lado do servidor (também conhecido como grampeamento OCSP), o servidor está habilitado (em vez do cliente) para fazer a solicitação ao respondente OCSP. O servidor grampeia a resposta OCSP ao certificado e a devolve ao cliente durante o handshake TLS.

Diagramas OCSP

O diagrama a seguir ilustra como o OCSP do lado do cliente e o OCSP do lado do servidor funcionam.

Diagramas OCSP do lado do cliente e OCSP do lado do servidor
OCSP do lado do cliente

  1. O cliente envia uma ClientHello mensagem para iniciar o handshake TLS com o servidor.

  2. O servidor recebe a mensagem e responde com uma ServerHello mensagem. O servidor também envia o certificado do servidor para o cliente.

  3. O cliente valida o certificado do servidor e extrai um URI OCSP dele.

  4. O cliente envia uma solicitação de verificação de revogação de certificado para o respondente OCSP.

  5. O respondente OCSP envia uma resposta OCSP.

  6. O cliente valida o status do certificado a partir da resposta OCSP.

  7. O handshake TLS foi concluído.

OCSP do lado do servidor

  1. O cliente envia uma ClientHello mensagem para iniciar o handshake TLS com o servidor.

  2. O servidor recebe a mensagem e obtém a resposta OCSP em cache mais recente. Se a resposta em cache estiver ausente ou expirada, o servidor chamará o respondente OCSP para obter o status do certificado.

  3. O respondente OCSP envia uma resposta OCSP para o servidor.

  4. O servidor envia uma ServerHello mensagem. O servidor também envia o certificado do servidor e o status do certificado para o cliente.

  5. O cliente valida o status do certificado OCSP.

  6. O handshake TLS foi concluído.

Como funciona o grampeamento OCSP

O grampeamento OCSP é usado durante o handshake TLS (Transport Layer Security) entre o cliente e o servidor para verificar o status de revogação do certificado do servidor. O servidor faz a solicitação OCSP ao respondente OCSP e grampeia as respostas OCSP aos certificados retornados ao cliente. Ao fazer com que o servidor faça a solicitação ao respondente OCSP, as respostas podem ser armazenadas em cache e usadas várias vezes para muitos clientes.

Como funciona o grampeamento OCSP em AWS IoT Core

O diagrama a seguir mostra como o grampeamento OCSP do lado do servidor funciona em. AWS IoT Core

Este diagrama mostra como o grampeamento OCSP do lado do servidor funciona em. AWS IoT Core

  1. O dispositivo precisa ser registrado com domínios personalizados com o grampeamento OCSP ativado.

  2. AWS IoT Core chama o respondente OCSP a cada hora para obter o status do certificado.

  3. O respondente OCSP recebe a solicitação, envia a resposta OCSP mais recente e armazena a resposta OCSP em cache.

  4. O dispositivo envia uma ClientHello mensagem para iniciar o handshake TLS. AWS IoT Core

  5. AWS IoT Core obtém a resposta OCSP mais recente do cache do servidor, que responde com uma resposta OCSP do certificado.

  6. O servidor envia uma ServerHello mensagem para o dispositivo. O servidor também envia o certificado do servidor e o status do certificado para o cliente.

  7. O dispositivo valida o status do certificado OCSP.

  8. O handshake TLS foi concluído.

Benefícios do uso do grampeamento OCSP em comparação com as verificações OCSP do lado do cliente

Algumas vantagens de usar o grampeamento OCSP de certificado de servidor estão resumidas da seguinte forma:

Privacidade aprimorada

Sem o grampeamento do OCSP, o dispositivo do cliente pode expor informações a respondedores OCSP de terceiros, potencialmente comprometendo a privacidade do usuário. O grampeamento OCSP atenua esse problema fazendo com que o servidor obtenha a resposta OCSP e a entregue diretamente ao cliente.

Confiabilidade aprimorada

O grampeamento OCSP pode melhorar a confiabilidade de conexões seguras porque reduz o risco de interrupções do servidor OCSP. Quando as respostas OCSP são grampeadas, o servidor inclui a resposta mais recente com o certificado. Isso é para que os clientes tenham acesso ao status de revogação, mesmo que o respondente OCSP esteja temporariamente indisponível. O grampeamento OCSP ajuda a mitigar esses problemas porque o servidor busca respostas OCSP periodicamente e inclui as respostas em cache no handshake TLS, reduzindo a dependência da disponibilidade em tempo real dos respondedores OCSP.

Carga reduzida do servidor

O grampeamento OCSP alivia a carga de responder às solicitações OCSP dos respondentes OCSP para o servidor. Isso pode ajudar a distribuir a carga de forma mais uniforme, tornando o processo de validação do certificado mais eficiente e escalável.

Latência reduzida

O grampeamento OCSP reduz a latência associada à verificação do status de revogação de um certificado durante o handshake TLS. Em vez de o cliente precisar consultar um servidor OCSP separadamente, o servidor envia a solicitação e anexa a resposta OCSP ao certificado do servidor durante o handshake.

Ativando o grampeamento OCSP do certificado do servidor em AWS IoT Core

Para habilitar o grampeamento OCSP do certificado de servidor AWS IoT Core, você deve criar uma configuração de domínio para um domínio personalizado ou atualizar uma configuração de domínio personalizado existente. Para obter informações gerais sobre como criar uma configuração de domínio com um domínio personalizado, consulteCriar e configurar domínios personalizados.

Use as instruções a seguir para habilitar o grampeamento do servidor OCSP usando ou. AWS Management Console AWS CLI

Para habilitar o grampeamento OCSP do certificado do servidor usando o console: AWS IoT

  1. Escolha Configurações no painel de navegação à esquerda do menu e escolha Criar configuração de domínio ou uma configuração de domínio existente para um domínio personalizado.

  2. Se você optar por criar uma nova configuração de domínio a partir da etapa anterior, você verá a página Criar configuração de domínio. Na seção Propriedades de configuração do domínio, escolha Domínio personalizado. Insira as informações para criar uma configuração de domínio.

    Se você optar por atualizar uma configuração de domínio existente para um domínio personalizado, você verá a página de detalhes da configuração do domínio. Selecione a opção Editar.

  3. Para habilitar o grampeamento do servidor OCSP, escolha Ativar grampeamento OCSP do certificado do servidor na subseção Configurações do certificado do servidor.

  4. Escolha Criar configuração de domínio ou Atualizar configuração de domínio.

Para habilitar o grampeamento OCSP do certificado do servidor usando: AWS CLI

  1. Se você criar uma nova configuração de domínio para um domínio personalizado, o comando para habilitar o grampeamento do servidor OCSP poderá ter a seguinte aparência:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Se você atualizar uma configuração de domínio existente para um domínio personalizado, o comando para habilitar o grampeamento do servidor OCSP pode ter a seguinte aparência:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Para obter mais informações, consulte CreateDomainConfiguratione a UpdateDomainConfigurationpartir da Referência AWS IoT da API.

Notas importantes sobre o uso do grampeamento OCSP do certificado de servidor em AWS IoT Core

Ao usar o certificado de servidor OCSP em AWS IoT Core, lembre-se do seguinte:

  1. AWS IoT Core suporta somente os respondedores OCSP que podem ser acessados por endereços IPv4 públicos.

  2. O recurso de grampeamento OCSP AWS IoT Core não oferece suporte a respondedores autorizados. Todas as respostas do OCSP devem ser assinadas pela CA que assinou o certificado, e a CA deve fazer parte da cadeia de certificados do domínio personalizado.

  3. O recurso de grampeamento OCSP AWS IoT Core não oferece suporte a domínios personalizados criados usando certificados autoassinados.

  4. AWS IoT Core chama um respondente OCSP a cada hora e armazena a resposta em cache. Se a chamada para o respondente falhar, AWS IoT Core grampeará a resposta válida mais recente.

  5. Se não nextUpdateTime for mais válido, AWS IoT Core removerá a resposta do cache e o handshake TLS não incluirá os dados da resposta OCSP até a próxima chamada bem-sucedida para o respondente OCSP. Isso pode acontecer quando a resposta em cache expira antes que o servidor receba uma resposta válida do respondente OCSP. O valor de nextUpdateTime sugere que a resposta do OCSP será válida até esse momento. Para obter mais informações sobre o nextUpdateTime, consulte Entradas de OCSP registro de certificados do servidor.

  6. Às vezes, AWS IoT Core falha ao receber a resposta OCSP ou remove a resposta OCSP existente porque ela expirou. Se situações como essas acontecerem, AWS IoT Core continuará usando o certificado do servidor fornecido pelo domínio personalizado sem a resposta do OCSP.

  7. O tamanho da resposta OCSP não pode exceder 4 KiB.

Solução de problemas de grampeamento OCSP do certificado de servidor AWS IoT Core

AWS IoT Core emite a RetrieveOCSPStapleData.Success métrica e as entradas de RetrieveOCSPStapleData registro para CloudWatch. A métrica e as entradas de registro podem ajudar a detectar problemas relacionados à recuperação de respostas do OCSP. Para ter mais informações, consulte Métricas de OCSP grampeamento de certificados de servidor e Entradas de OCSP registro de certificados do servidor.