Включение сшивания OCSP на сайте с поддержкой SNI IIS
Если для привязки сайта IIS установлен флажок «Требовать указание имени сервера», сшивание OCSP для этого сайта отключено.
легко подтверждается включением SNI для сайта, который в настоящее время не требует этого, и проверкой с помощью https://www.ssllabs.com/ssltest/ или openssl:
openssl s_client -connect foobar.com:443 -servername foobar.com -tls1 -tlsextdebug -status
Есть ли у кого-нибудь обходной путь, чтобы клиенты сайтов с поддержкой SNI могли пользоваться преимуществами сшивания OCSP?
Создайте регистровое значение DWORD EnableOcspStaplingForSni в HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ и установите для него ненулевое значение .
Согласно Microsoft, это поведение отключено по умолчанию из-за потенциальных проблем с производительностью.
Чтобы включить сшивание OCSP для привязок SNI и CCS, найдите следующий подраздел реестра:
"EnableOcspStaplingForSni "= dword: 00000001ниже Путь реестра :[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL]
Фрагмент Powershell:
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\" -Name "EnableOcspStaplingForSni" -PropertyType DWord -Value 1
Справочная статья Microsoft , статья касается сервера Windows 2012, у меня есть проверил это, и он по-прежнему актуален для 2016 года.
Скрепление OCSP
Скрепление Online Certificate Status Protocol (OCSP) позволяет веб-серверу, например, Internet Information Services (IIS), предоставлять текущий статус отзыва сертификата сертификат сервера, когда он отправляет сертификат сервера клиенту во время установления связи TLS. Эта функция снижает нагрузку на серверы OCSP, поскольку веб-сервер может кэшировать текущий статус OCSP сертификата сервера и отправлять его нескольким веб-клиентам. Без этой функции каждый веб-клиент попытался бы получить текущий статус OCSP сертификата сервера с сервера OCSP. Это создаст высокую нагрузку на этот сервер OCSP.
По умолчанию поддержка OCSP включена для веб-сайтов IIS, имеющих простую безопасную привязку (SSL / TLS). Однако эта поддержка не включена по умолчанию, если веб-сайт IIS использует один или оба из следующих типов безопасных (SSL / TLS) привязок:
Требовать указания имени сервера
Использовать централизованное хранилище сертификатов
В этом случае ответ сервера на приветствие во время установления связи TLS по умолчанию не будет содержать сшитый статус OCSP. Такое поведение повышает производительность: реализация сшивания Windows OCSP масштабируется до сотен сертификатов сервера. Поскольку SNI и CCS позволяют IIS масштабироваться до тысяч веб-сайтов, потенциально имеющих тысячи сертификатов серверов, включение этого поведения по умолчанию может вызвать проблемы с производительностью.
Примечание. Включение этого раздела реестра потенциально может повлиять на производительность.