Технология Must-Staple

OCSP Must-Staple

OCSP Must-Staple (см. RFC 7633) – технология, нужная для оптимизации работы с TLS-серверами. В сертификат сервера добавляется OID, обозначающий, что при отправке ответа клиенту к этому сертификату всегда должен идти “прикреплённый” и заранее загруженный сервером OCSP-ответ. Браузер, таким образом, запрашивая сертификат и читая его сразу же получает сигнал о том, что сервер должен к этому ответу приложить OCSP – или, если не приложит, то это ленивый сервер и с ним надо разорвать связь. То есть клиентский браузер чётко знает – “я сам ходить за OCSP даже пробовать не буду – мне должны прислать валидный OCSP-ответ”. Что, как понятно, упрощает алгоритм подключения и исключает задержку на “решаем, так OCSP-ответ нам пришлют или самим сходить надо будет”.

Ещё раз – именно должны. Ваш сервер, предъявляя такой сертификат, подписывается под то, что к TLS-ответу будет прикреплён OCSP.

Поможем вам изучить OCSP Must-Staple в удобном формате онлайн-обучения.

Обучение Must-Staple

Если вы собрались изучать OCSP Must-Staple, то помогут: