Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
ocsp configuraties (Firefox)
30-07-2018, 18:54 door Anoniem, 7 reacties
Ik weet niet hoe het met jullie is, maar ik snap nog steeds niet waar sommige ocsp configuratie-opties (about:config)
voor dienen.
Ik kom niet verder dan onderstaande en kan alleen maar hopen dat de dingen die ik meen te weten correct zijn :
security.OCSP.GET.enabled : ???????????
security.OCSP.enabled : 0 = ocsp disabled ; 1 = ocsp enabled ; 2 = ocsp alleen enabled voor extended validation
security.OCSP.require : 0 = geen oscp afgedwongen 1 = ocsp afgedwongen
security.ssl.enable_ocsp_must_staple : true = ocsp stapling moet worden gebruikt
security.ssl.enable_ocsp_stapling : true = ocsp stapling kan worden gebruikt
services.sync.prefs.sync.security.OCSP.enabled : ?????
services.sync.prefs.sync.security.OCSP.require : ?????
De opties waar vraagtekens achter staan zou ik niet weten.
Zijn er mensen die weten wat de opties met de vraagtekens te betekenen hebben?
En heb ik de rest goed?
voor dienen.
Ik kom niet verder dan onderstaande en kan alleen maar hopen dat de dingen die ik meen te weten correct zijn :
security.OCSP.GET.enabled : ???????????
security.OCSP.enabled : 0 = ocsp disabled ; 1 = ocsp enabled ; 2 = ocsp alleen enabled voor extended validation
security.OCSP.require : 0 = geen oscp afgedwongen 1 = ocsp afgedwongen
security.ssl.enable_ocsp_must_staple : true = ocsp stapling moet worden gebruikt
security.ssl.enable_ocsp_stapling : true = ocsp stapling kan worden gebruikt
services.sync.prefs.sync.security.OCSP.enabled : ?????
services.sync.prefs.sync.security.OCSP.require : ?????
De opties waar vraagtekens achter staan zou ik niet weten.
Zijn er mensen die weten wat de opties met de vraagtekens te betekenen hebben?
En heb ik de rest goed?
Reacties (7)
Heb je hier al eens gekeken? http://kb.mozillazine.org/Firefox_:_FAQs_:_About:config_Entries
OCSP is leuk geprobeerd maar in de praktijk brengt het weinig op. Wel geeft het problemen, omdat de OCSP service
niet altijd goed voor elkaar is.
niet altijd goed voor elkaar is.
Door Anoniem: Heb je hier al eens gekeken? http://kb.mozillazine.org/Firefox_:_FAQs_:_About:config_Entries
http.
Een maninthemiddle kan er totaal verkeerde informatie van maken. ;)
Door Anoniem: OCSP is leuk geprobeerd maar in de praktijk brengt het weinig op. Wel geeft het problemen, omdat de OCSP service
niet altijd goed voor elkaar is.
niet altijd goed voor elkaar is.
Klopt, ik had laatst dit probleem:
https://forum.snsbank.nl/mijn-sns-sns-mobiel-bankieren-app-69/foutmelding-bij-het-overschrijven-hoe-kan-ik-dit-oplossen-7594
Het leek ook een beetje op dit: https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-geeft-cijfercodes-die-niet-werken.html
Vanuit de bank bevelen ze aan om de digipas te vervangen, maar ik geloofde dat niet.
Ik kon in het begin inloggen maar bij bevestiging transactie kreeg ik steeds die foutmelding.
Op een gegeven moment kon ik ook niet meer inloggen vanwege meerdere digipascodes die "fout" werden bevonden.
Internetbankieren werd toen 24 uur geblokkeerd en dat had ik gelukkig door.
Voor alle zekerheid toen de volgende dingen gedaan:
- digipas 24 uur in nauw afgesloten plastic zakje in koelkast gelegd
(voor het geval er wat ontregeld zou zijn door steeds maar die hoge temperaturen, SNS heeft het over een "klok")
- computertijd enkele seconden bijgesteld (er is geen tijdserver ingesteld)
... en toen vond ik een fout in oscp. Mijn firewall stond netjes open voor het ocsp-domein, maar op één of andere manier blokkeerde hij de terugkomende ocsp-response o.i.d..
Dit opgelost, ruim 24 uur gewacht (omdat bankieren 24 uur was geblokkeerd) en toen was het in orde.
Of het (zoals de bank zegt) ook aan de digipas kan liggen weet ik niet, maar onderzoek eerst ocsp maar eens!
(of zet ocsp lekker uit als je kan, volgens mij werkt alles dan nog gewoon)
Het probleem zit niet alleen bij mensen die hun eigen firewall niet goed voor elkaar hebben.
Ook de OCSP server kan problemen hebben en dit komt bij bepaalde uitgevers best wel vaak voor.
Als je OCSP instelt als blokkerend voor een connectie (security.OCSP.require op true) dan zul je met de nodige regelmaat
sites niet kunnen bezoeken of functionaliteit binnen sites missen (bijvoorbeeld een reactieformulier op een wordpress
site wat https://jetpack.wordpress.com gebruikt en in plaats daarvan een OCSP foutmelding laat zien).
En in al die tijd dat ik dit aan heb staan heb ik nog NOOIT meegemaakt dat de foutmelding terecht was en me heeft
behoed voor een veiligheidsprobleem. Dus reken je niet te rijk: OCSP brengt je weinig, behalve soms problemen.
(wat dat betreft is het vergelijkbaar met IPv6 :-)
Ook de OCSP server kan problemen hebben en dit komt bij bepaalde uitgevers best wel vaak voor.
Als je OCSP instelt als blokkerend voor een connectie (security.OCSP.require op true) dan zul je met de nodige regelmaat
sites niet kunnen bezoeken of functionaliteit binnen sites missen (bijvoorbeeld een reactieformulier op een wordpress
site wat https://jetpack.wordpress.com gebruikt en in plaats daarvan een OCSP foutmelding laat zien).
En in al die tijd dat ik dit aan heb staan heb ik nog NOOIT meegemaakt dat de foutmelding terecht was en me heeft
behoed voor een veiligheidsprobleem. Dus reken je niet te rijk: OCSP brengt je weinig, behalve soms problemen.
(wat dat betreft is het vergelijkbaar met IPv6 :-)
Door Anoniem: Het probleem zit niet alleen bij mensen die hun eigen firewall niet goed voor elkaar hebben.
Ook de OCSP server kan problemen hebben en dit komt bij bepaalde uitgevers best wel vaak voor.
Als je OCSP instelt als blokkerend voor een connectie (security.OCSP.require op true) dan zul je met de nodige regelmaat
sites niet kunnen bezoeken of functionaliteit binnen sites missen (bijvoorbeeld een reactieformulier op een wordpress
site wat https://jetpack.wordpress.com gebruikt en in plaats daarvan een OCSP foutmelding laat zien).
En in al die tijd dat ik dit aan heb staan heb ik nog NOOIT meegemaakt dat de foutmelding terecht was en me heeft
behoed voor een veiligheidsprobleem. Dus reken je niet te rijk: OCSP brengt je weinig, behalve soms problemen.
...en vragen over de ocsp configuratie...Ook de OCSP server kan problemen hebben en dit komt bij bepaalde uitgevers best wel vaak voor.
Als je OCSP instelt als blokkerend voor een connectie (security.OCSP.require op true) dan zul je met de nodige regelmaat
sites niet kunnen bezoeken of functionaliteit binnen sites missen (bijvoorbeeld een reactieformulier op een wordpress
site wat https://jetpack.wordpress.com gebruikt en in plaats daarvan een OCSP foutmelding laat zien).
En in al die tijd dat ik dit aan heb staan heb ik nog NOOIT meegemaakt dat de foutmelding terecht was en me heeft
behoed voor een veiligheidsprobleem. Dus reken je niet te rijk: OCSP brengt je weinig, behalve soms problemen.
Ik vraag me ook af wat een bank zou doen als de geheime sleutel van het certificaat in verkeerde handen is gevallen,
en wie dit het eerst weet: de bank of ocsp.
Wat zou de bank dan doen.
Zou internetbankieren offline gaan? Een waarschuwing?(totdat het certificaat is vervangen). Helemaal niks? Iets anders?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
