Hírek, aktualitások

május 2, 2017

Háttér fejlesztések a legutóbbi frissítésben

VCC Live OCSP Stapling

Gyorsabban induló kliens, kevesebb adatforgalom és egyszerűbb tűzfal beállítás: ezeket biztosítja legújabb frissítésünk.

A VCC Live-nál folyamatosan dolgozunk azon, hogy új funkciókkal bővítsük szoftvereink eszköztárát. Emellett azonban számos más fejlesztésen is munkálkodunk; igyekszünk a már meglévő szolgáltatásainkat még gyorsabbá és jobbá tenni. Ilyen fejlesztést adtunk ki a legutóbbi nagyobb kliens frissítéssel is, ami az úgynevezett OCSP (Online Certificate Status Protocol) stapling megoldásra való áttérés révén hoz kisebb teljesítményjavulást.

Ahhoz, hogy a VCC Live kliens biztonságos internet alapú kommunikációt hozhasson létre, titkosítási protokollokat használ, ami a kliens esetében a TLS 1.2 (Transport Layer Security) protokoll. Ezen protokollok felelősek a hálózati kapcsolatok szegmenseinek titkosításáért. A megfelelő titkosításhoz azonban érvényes tanúsítványok (x.509 digitális tanúsítvány) is szükségesek.

Ezek érvényességét viszont a hitelesítési szolgáltatók több ok miatt is visszavonhatják, például egy feltöréses támadás vagy információ szivárgás miatt. A VCC Live kliensnek így minden induláskor le kell kérdeznie a tanúsítványok érvényességét a hitelesítési szolgáltató OCSP szerverétől (jelen esetben az ocsp.godaddy.com). A lekérdezésnek több módja is van.

Az egyik ilyen a tanúsítványban szereplő érvényességi dátum ellenőrzése. Ez a hitelesség ellenőrzésének a legegyszerűbb, de közel sem 100%-osan biztos módja. Arra is van lehetőség, hogy a tanúsítvány tulajdonosa jelezze a hitelesítési szolgáltató felé, hogy az adott tanúsítvány már érvénytelen. A hitelesítési szolgáltatók képesek az OCSP protokollon keresztül elérhetővé tenni azt az információt, hogy egy adott sorozatszámú tanúsítvány -a saját rendszerükben lévő adatok alapján érvényes-e. A tanúsítványoknak van lejárati idejük is, aminek a visszavonásához a protokollt használjuk. A lekérdezést követően az OCSP szerver válaszának függvényében a kliens vagy elfogadottnak vagy elutasítottnak értékeli a tanúsítványt.

Jó hír, hogy a TLS protokoll támogatja azt, hogy a hitelességi információt közvetlen a VCC szerver adhassa át a VCC kliens részére úgy, hogy az OCSP tartalma változatlan és hiteles maradjon. Ezt a módszert használja a most bevezetett OCSP Stapling megoldás. Mostantól a VCC Live szervere kérdezi le az OCSP szervert a tanúsítvány helyességéről, majd a kiállító által hitelesen aláírt információkat csatolja a kliens oldali kommunikációhoz.

Így a VCC Live kliens mentesül az OCSP lekérésektől, aminek köszönhetően a VCC kliens gyorsabban indul és nem generál felesleges adatforgalmat. Sőt, a vállalati tűzfalakban sem kell már plusz IP-t/portot nyitni az OCSP szerver felé -ahogy azt eddig a VCC által igényelt OCSP szabály megkövetelte-, ezáltal is leegyszerűsítve a környezet beállítását. Ezt a tűzfalszabályt a rendszergazda szüntetheti meg.