Door Erik van Straten:
Alles maar standaard laten dan? En met z'n allen de TS bashen?
Als SNS is gestopt met OCSP stapling, heeft de TS gelijk dat dit een achteruitgang is: de bank verschuift zo het probleem van een niet bereikbare OCSP-server (van de certificaat-uitgever) naar de klant. Waarbij "niet bereikbaar" ook kwade opzet van een derde kan zijn.
Wat je wellicht gemist hebt is dat de TS zichzelf in deze situatie gemanouvreerd heeft door alleen connecties naar
een beperkte lijst IP adressen toe te laten, waar de OCSP server buiten viel.
Dat is een oplossing die notoir onbetrouwbaar is omdat je van "een website" niet kunt weten welke adressen die allemaal
gebruikt door alleen naar de start-URL te kijken. En als je met veel moeite bij elkaar hebt geschraapt welke adressen
bereikbaar moeten zijn kan er daar 5 seconden later een bijkomen.
Tuurlijk is dat een beetje zorgwekkend mbt de veiligheid, maar het is hoe het web werkt (al vanaf de eerste site van
Tim Berners-Lee!) en dat is iets waar je min of meer mee moet leven.
Wat die OCSP stapling betreft, ik heb zelf wel eens gedacht "oh dat wil ik op mijn eigen site ook wel hebben, even
kijken hoe je dat in Apache aanzet" en liep tegen allerlei beren op de weg aan. Uiteindelijk maar niet gedaan.
Ik kan me best voorstellen dat SNS ook een beer is tegengekomen en besloten heeft er maar mee te stoppen.
Als dat geen gewenste situatie is dan is er werk aan de winkel voor de webserver programmeurs. Als je wilt dat dit
gebruikt wordt en gebruikt blijft worden, maak het dan simpel te configureren.