OCSP must-staple / tlsfeature status_request / OID 1.3.6.1.5.5.7.1.24

OCSP must-staple wird z.B. von SECTIGO bzw. PositiveSL unterstützt. Sie müssen das Feature jedoch selbst in der Zertifikatsanfrage (CSR) aktivieren.   Bei DigiCert wird must-staple nur bei OV/EV Produkten unterstützt, siehe https://docs.digicert.com/de/manage-certificates/certificate-profile-options/    Bei RapidSSL Produkten wird OCSP must-staple aktuell NICHT unterstützt.


Es gibt zwei Ebenen bzw. Möglichkeiten, OCSP must-staple zu aktivieren:

1) Über den Webserver via HTTP Response Header. Das können Sie direkt auf dem Server konfigurieren/aktivieren.  

2) Über die Extensions im SSL Zertifikat um auch den "first visit" abzudecken, zumindest sofern der zugreifende Client es berücksichtigt. Hierfür muss schon vor der Beantragung des SSLs im CSR das Feature "TLS status_request" hinterlegt sein. Möglich ist das z.B. in dem man die bereits bestehende v3_req extenstion in der openssl Standard-Konfiguration (auf Debian-Linux in /usr/lib/ssl/openssl.cnf) aktiviert und dort die OID 1.3.6.1.5.5.7.1.24 ergänzt:

req_extensions = v3_req

sowie:

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
tlsfeature = status_request

alternativ geht auch:

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
1.3.6.1.5.5.7.1.24 = DER:30:03:02:01:05


Mit dieser Konfiguration dann wie gewohnt den CSR erzeugen, z.B.

openssl req -config openssl.cnf -new -newkey rsa:4096 -nodes -keyout www.interssl.com.key -out www.interssl.com.csr -subj "/C=AT/ST=/L=/O=/CN=www.interssl.com"
 


Zur Überprüfung: beim Decodieren muss im CSR aufscheinen:
TLS Feature:
                status_request

CSR Decoder zum Überprüfen siehe https://www.interssl.com/de/ssl-tools-csrdecode.php 

Das so erzeugte SSL Zertifikat weist dann ebenfalls das TLS Feature "status_request" auf. Den X.509 Decoder zum Testen finden Sie hier:
https://www.interssl.com/de/ssl-tools-crtdecode.php


Was this answer helpful?

 Print this Article

Also Read

Decrypting SSL traffic with tshark (private key required)

Sample: #!/bin/bash tshark -f "tcp port 80" -Y 'http.request || http.response' #OR (for...

Check SSL security, installation and configuration

Feel free to use the collection of SSL tools we are providing to check your SSL configuration and...

How can i verify my SSL certification?

Please use the tools from our SSL Tools site which offer you all kinds of SSL checker tools for...

Why SHA-1 based SSL certificates should NOT be used anymore. Revoke old SHA-1 based certificates and get free SHA-2 ones! Here is why ...

All SSL certificates delivered by us are SHA-2 based by default since November 2014. Multiple...

BSI legt Grundstein für Prüfungen gemäß IT-Sicherheitsgesetz

Betreiber kritischer Infrastruktur müssen sich zukünftig regelmäßig prüfen lassen und dabei...