Ocsp comodoca com что это
Перейти к содержимому

Ocsp comodoca com что это

  • автор:

ocsp.comodoca.com blocklisted (by comodo itself)

Update: Looks like Comodo fixed its classification of the site in an updated report [2]. The site still shows one suspicious scan, but the overall status is «safe». McAfee classifies the site as «minimal risk» but the history still shows a red high risk for web reputation as of today/yesterday. [3]

A couple of readers have noticed that «ocsp.comodoca.com» has been labeled as «suspicious» and distributing malware for the last couple of days. In particular Comodo’s own site inspector service has been identifying the URL as suspect [1]

OCSP is a newer web service that allows clients to verify if an SSL certificate has been revoked. The older standard, CRL (Certificate Revocation List) required that browsers download the entire list. With OCSP, it is possible to query the status of an individual certificate. The certificate has to have the URL for the respective CRL or OCSP service embedded.

Many browsers will accept a certificate, even if the OCSP service does not respond. They will only mark it as invalid, if the OCSP service responds with a result marking the certificate as revoked. However, for Extended Validation (EV) certificates, browsers tend to be more specific and require a positive OCSP response.

OCSP stapling в Nginx

В зависимосте от типа сертификата в архиве могут быть другие файлы:

AddTrustExternalCARoot.crt / Root CA Certificate / Корневой сертификат
COMODORSAAddTrustCA.crt / Intermediate CA Certificate / Промежуточный сертификат
COMODORSADomainValidationSecureServerCA.crt / Intermediate CA Certificate
foobar_com.crt — Сертификат домена

В этом случае команда выглядит так

$ cat foobar_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl_bundle.crt

Да, так советует делать инструкция от Comodo. Но в таком случае на SSLLabs будет предупреждение Chain issues — Contains anchor. Поэтому AddTrustExternalCARoot.crt нужно исключить �� и правильная команда выглядит так

$ cat foobar_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > ssl_bundle.crt

Далее нам нужен файл, содержащий сертификаты (корневой+промежуточный) для проверки ответов OCSP

$ cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > foobar_com_ocsp.crt

Если нужно скачать сертификаты ��‍♂️

Пример конфигурационного файла для OCSP stapling

server < listen 443 ssl; server_name foobar.com; ssl_certificate /etc/ssl/foobar_com.crt; ssl_certificate_key /etc/ssl/foobar_com.key; ssl_trusted_certificate /etc/ssl/foobar_com_ocsp.crt ssl_stapling on; ssl_stapling_verify on; resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off; resolver_timeout 5s; >

Слишком маленькое значение resolver_timeout (менее 5 секунд) может вызвать ошибку ��

"ssl_stapling" ignored, host not found in OCSP responder "ocsp.comodoca.com"

Если настроен фаервол, то не забудьте разрешить вашему серверу исходящие соединения к OCSP URL .

Узнаем OCSP URL

$ openssl x509 -in /etc/ssl/foobar_com.crt -noout -ocsp_uri http://ocsp.comodoca.com

Раз уж теперь известен OCSP сервер, то можно провести тест через консоль с openssl.

$ openssl ocsp -issuer intermediate.crt -cert foobar_com.crt -url http://ocsp.comodoca.com -no_nonce

Успешный вывод команды выглядит так

Response verify OK /etc/ssl/foobar_com.crt: good This Update: Apr 29 04:51:34 2020 GMT Next Update: May 6 04:51:34 2020 GMT

Если вдруг Responder Error: unauthorized, то читаем RFC5019

Также рекомендую очень полезную статью — Настройка и оптимизация OCSP

Сайт rtfm.wiki использует cookies и трекинг посещений. Продолжая использовать этот сайт, вы соглашаетесь с сохранением файлов cookie на вашем компьютере. Если вы не согласны покиньте сайт или включите Adblock �� ОК Что такое cookies? ��

Запросы с сайта comodoca.com

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Войти

Уже зарегистрированы? Войдите здесь.

Больше способов поделиться.

Похожие публикации

Отображение цены по запросу PRO+
  • цена по запросу
  • скрыть цену
  • (и ещё 2)
  • цена по запросу
  • скрыть цену
  • ocdevwizard
  • увидеть цену
Оптимизация запроса в seo_pro.php

Автор: maxway777, 9 августа

Не работают css медиа-запросы

Автор: BeItoM, 10 августа 2021

Работа с сайтом

Автор: ultra76, 28 сентября

Установка модуля на сайт

Автор: Fishima1, 23 октября

Сейчас на странице 0 пользователей

  • Нет пользователей, просматривающих эту страницу.

Покупателям

  • Оплата дополнений физическими лицами
  • Оплата дополнений юридическими лицами
  • Политика возвратов

Разработчикам

  • Регламент размещения дополнений
  • Регламент продаж и поддержки дополнений
  • Виртуальный аккаунт автора
  • Политика продвижения объявлений
  • API каталога дополнений
  • Урегулирование споров по авторским правам

Полезная информация

  • Публичная оферта
  • Политика возвратов
  • Политика конфиденциальности
  • Платежная политика
  • Политика Передачи Персональных Данных
  • Политика прозрачности

Последние дополнения

Движок интернет магазина OpenCart (ocStore) — официальный сайт OpenCartForum.com Powered by Invision Community

  • Уже зарегистрированы? Войти
  • Регистрация
Раздел покупок
ocStore
  • Назад
  • Официальный сайт
  • Демо ocStore 3.0.3.2
  • Демо ocStore 2.3.0.2.4
  • Скачать ocStore
  • Документация
  • История версий ocStore
Шаблоны
OpenCart.Pro
  • Создать.

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.

Включение OCSP Stapling

Доброе утро, уважаемые гуру программирования! Очень нужна Ваша помощь! Являюсь владельцем сайта, но совершенно не владею какими-либо специальными техническими познаниями в этой области. До сего момента вполне хватало изучения обсуждений на форумах или официальных сайтах разработчиков функций, которые собирался применить. Недавно перевел сайт на https, настроил сертификат (А+ по ssslabs.com), но оказался совершенно не способен подключить OCSP Stapling. Перед настройкой перевел сервер в ручной режим работы, добавил всяких необходимых заголовков, усилил, так сказать, безопасность . но при включении строк, необходимых для включения OCSP Stapling сервер отказывается перезагружаться и проявляется ошибка 500. При этом в конфигурационном файле сервера нет раздела : все команды вписывал в модуле ssl, «создавал» раздел и пытался его «активировать», но безуспешно. Однако этот раздел есть в конфигурационном файле самого сайта. Сайт также переводил в ручной режим работы, пытался подключить OCSP Stapling, но результат всегда одинаков. Смущает то, что в конфигурационном файле сервера указаны пути до двух сертификатов и ключа (путь указан реальный, есть и папки и сами файлы: home/site/etc/ssl/сертификат.crt (или ключ.key), а в таком же файле сайта только один путь до сертификата самого сайта и до ключа и не указан путь до промежуточного сертификата, как-будто его и нет. Причем «отследить» эти пути не знаю как: таких папок в документах сайта найти не могу (etc/ssl/несуществующая папка/сертификат.crt (или ключ.key). Пытался спрашивать поддержку, но по настройке в ручном режиме она «не поддерживает», советует все перевести в режим автоматический. Подскажите, пожалуйста, есть ли какой-то универсальный и максимально простой способ подключить OCSP Stapling на сервере Apache? С уважением,

Protector
21.01.17 09:30:33 MSK

Ну сформируй crt вместе с промежуточным сертификатом. Тебе же наверняка все сертификаты прислали, или хотя бы ссылки на них, когда заказывал?
Сам стаплинг включать не сложно. SSLCACertificateFile и SSLUseStapling внутри секции хоста, SSLStaplingCache вне секции хоста. На nginx ещё проще. Надо просто полную цепочку сертификатов в файле подсунуть.

imul ★★★★★
( 21.01.17 11:50:22 MSK )
Ответ на: комментарий от imul 21.01.17 11:50:22 MSK

PS: в принципе сам стаплинг на рейтинг не повлияет. Просто клиенту придётся лезть ещё раз за промежуточным сертификатом куда-то. Ну потеряет сотню милисекунд на хендшейке. Это сильно критично?

imul ★★★★★
( 21.01.17 11:53:23 MSK )

возможно промежуточный сертификат лежит в том же файле что и сертификат пользователя.

snaf ★★★★★
( 21.01.17 12:13:39 MSK )
Ответ на: комментарий от imul 21.01.17 11:53:23 MSK

Просто клиенту придётся лезть ещё раз за промежуточным сертификатом куда-то.

это еще почему? При включенном OCSP stappling ответ от OCSP выдаёт сам владелец сертификата а не CA. Как это влияет на промежуточный сертификат?

snaf ★★★★★
( 21.01.17 12:16:27 MSK )
Ответ на: комментарий от snaf 21.01.17 12:16:27 MSK

Я написал косноязычно, а ты понял с точностью до наоборот.

imul ★★★★★
( 21.01.17 12:32:58 MSK )

Покажи вывод команды:
openssl s_client -connect твойсайт:443 -status

imul ★★★★★
( 21.01.17 14:29:12 MSK )
Ответ на: комментарий от imul 21.01.17 11:50:22 MSK

Добрый день! Благодарю за ответ! Промежуточные сертификаты у меня есть, их прислали вместе с основым сертификатом и ключом. Вроде бы все делаю как делают все: Объединил три промежуточных сертификата, назвал файл bundle.crt, залил его на хостинг в папку ssl, рядом с теми, что ранее загружал через панель хостинга (сайт тогда был в автоматическом режиме), в разделе VirtualHost дописал: SSLCertificateChainFile /etc/ssl/bundle.crt SSLUseStapling on. В модуле SSL вне VirtualHost прописал SSLStaplingCache shmcb:/tmp/stapling_cache(128000) Потом сохранил, перезапускаю — «Ошибка», сервер не перезагружается . Зверею уже от этой заминки: до этого сам настроил сертификат на А+, заголовки всякие, шифры . делал все так, как рекомендуется в документации Apache, но эта функция не поддается . Никак. Сертификат от COMODO, хостинг NIC.RU. Менеджер по сертификатам и хостинг говорят, что все это настраивается, но почему-то не получается.

Protector
( 23.01.17 12:08:18 MSK ) автор топика
Ответ на: комментарий от imul 21.01.17 11:53:23 MSK

Не критично, конечно, но если функцию можно включить, то почему бы нет? Да и знать, что на сервере что-то никак не включается, тоже не есть хорошо. Ладно бы совсем не работала и включить нельзя, но вроде бы можно, но никак.

Protector
( 23.01.17 12:16:28 MSK ) автор топика
Ответ на: комментарий от snaf 21.01.17 12:13:39 MSK

Добрый день! Не знаю, может быть и вместе, потому что в разделе VirtualHost только две ссылки: на один сертификат и на ключ. Может быть надо вручную перезалить, просмотрев содержимое и разделив их? Но тогда я не знаю, как правильно прописать для них пути: те, что есть, имеют «неотслеживаемые» пути, одна папка лишняя указана, такой у меня нет (между папкой ssl и сертификатом (ключом).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *