Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ocsp configuraties (Firefox)

30-07-2018, 18:54 door Anoniem, 7 reacties
Ik weet niet hoe het met jullie is, maar ik snap nog steeds niet waar sommige ocsp configuratie-opties (about:config)
voor dienen.
Ik kom niet verder dan onderstaande en kan alleen maar hopen dat de dingen die ik meen te weten correct zijn :


security.OCSP.GET.enabled : ???????????

security.OCSP.enabled : 0 = ocsp disabled ; 1 = ocsp enabled ; 2 = ocsp alleen enabled voor extended validation

security.OCSP.require : 0 = geen oscp afgedwongen 1 = ocsp afgedwongen

security.ssl.enable_ocsp_must_staple : true = ocsp stapling moet worden gebruikt

security.ssl.enable_ocsp_stapling : true = ocsp stapling kan worden gebruikt

services.sync.prefs.sync.security.OCSP.enabled : ?????

services.sync.prefs.sync.security.OCSP.require : ?????


De opties waar vraagtekens achter staan zou ik niet weten.
Zijn er mensen die weten wat de opties met de vraagtekens te betekenen hebben?
En heb ik de rest goed?
Reacties (7)
30-07-2018, 22:42 door Anoniem
31-07-2018, 09:40 door Anoniem
OCSP is leuk geprobeerd maar in de praktijk brengt het weinig op. Wel geeft het problemen, omdat de OCSP service
niet altijd goed voor elkaar is.
02-08-2018, 00:21 door Anoniem
Door Anoniem: Heb je hier al eens gekeken? http://kb.mozillazine.org/Firefox_:_FAQs_:_About:config_Entries

http.
Een maninthemiddle kan er totaal verkeerde informatie van maken. ;)
02-08-2018, 15:41 door Anoniem
Door Anoniem: OCSP is leuk geprobeerd maar in de praktijk brengt het weinig op. Wel geeft het problemen, omdat de OCSP service
niet altijd goed voor elkaar is.

Klopt, ik had laatst dit probleem:
https://forum.snsbank.nl/mijn-sns-sns-mobiel-bankieren-app-69/foutmelding-bij-het-overschrijven-hoe-kan-ik-dit-oplossen-7594
Het leek ook een beetje op dit: https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-geeft-cijfercodes-die-niet-werken.html

Vanuit de bank bevelen ze aan om de digipas te vervangen, maar ik geloofde dat niet.
Ik kon in het begin inloggen maar bij bevestiging transactie kreeg ik steeds die foutmelding.
Op een gegeven moment kon ik ook niet meer inloggen vanwege meerdere digipascodes die "fout" werden bevonden.
Internetbankieren werd toen 24 uur geblokkeerd en dat had ik gelukkig door.

Voor alle zekerheid toen de volgende dingen gedaan:
- digipas 24 uur in nauw afgesloten plastic zakje in koelkast gelegd
(voor het geval er wat ontregeld zou zijn door steeds maar die hoge temperaturen, SNS heeft het over een "klok")
- computertijd enkele seconden bijgesteld (er is geen tijdserver ingesteld)

... en toen vond ik een fout in oscp. Mijn firewall stond netjes open voor het ocsp-domein, maar op één of andere manier blokkeerde hij de terugkomende ocsp-response o.i.d..
Dit opgelost, ruim 24 uur gewacht (omdat bankieren 24 uur was geblokkeerd) en toen was het in orde.

Of het (zoals de bank zegt) ook aan de digipas kan liggen weet ik niet, maar onderzoek eerst ocsp maar eens!
(of zet ocsp lekker uit als je kan, volgens mij werkt alles dan nog gewoon)
03-08-2018, 13:25 door Anoniem
Het probleem zit niet alleen bij mensen die hun eigen firewall niet goed voor elkaar hebben.
Ook de OCSP server kan problemen hebben en dit komt bij bepaalde uitgevers best wel vaak voor.
Als je OCSP instelt als blokkerend voor een connectie (security.OCSP.require op true) dan zul je met de nodige regelmaat
sites niet kunnen bezoeken of functionaliteit binnen sites missen (bijvoorbeeld een reactieformulier op een wordpress
site wat https://jetpack.wordpress.com gebruikt en in plaats daarvan een OCSP foutmelding laat zien).
En in al die tijd dat ik dit aan heb staan heb ik nog NOOIT meegemaakt dat de foutmelding terecht was en me heeft
behoed voor een veiligheidsprobleem. Dus reken je niet te rijk: OCSP brengt je weinig, behalve soms problemen.
(wat dat betreft is het vergelijkbaar met IPv6 :-)
03-08-2018, 14:06 door Anoniem
Door Anoniem: Het probleem zit niet alleen bij mensen die hun eigen firewall niet goed voor elkaar hebben.
Ook de OCSP server kan problemen hebben en dit komt bij bepaalde uitgevers best wel vaak voor.
Als je OCSP instelt als blokkerend voor een connectie (security.OCSP.require op true) dan zul je met de nodige regelmaat
sites niet kunnen bezoeken of functionaliteit binnen sites missen (bijvoorbeeld een reactieformulier op een wordpress
site wat https://jetpack.wordpress.com gebruikt en in plaats daarvan een OCSP foutmelding laat zien).
En in al die tijd dat ik dit aan heb staan heb ik nog NOOIT meegemaakt dat de foutmelding terecht was en me heeft
behoed voor een veiligheidsprobleem. Dus reken je niet te rijk: OCSP brengt je weinig, behalve soms problemen.
...en vragen over de ocsp configuratie...

Ik vraag me ook af wat een bank zou doen als de geheime sleutel van het certificaat in verkeerde handen is gevallen,
en wie dit het eerst weet: de bank of ocsp.
Wat zou de bank dan doen.
Zou internetbankieren offline gaan? Een waarschuwing?(totdat het certificaat is vervangen). Helemaal niks? Iets anders?
07-08-2018, 12:07 door Anoniem
Hoe kan SNS-bank nu adviseren dat je bij die fout de digipas moet vervangen,
terwijl er in werkelijkheid iets mis gaat met ocsp?

Dat mogen ze daar bij SNS wel eens weten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.