OCSP stapling uitschakelen op Windows 2008 R2 met IIS7.5

Titel omschrijft eigenlijk al wat de bedoeling is: het uitschakelen van OCSP stapling op een windows 2008 R2 server met IIS7.5.

Door problemen in Firefox met een PKI-O SSL certificaat icm OCSP stapling wil ik dit (tijdelijk) uit gaan zetten, zodat de client/browser zelf OCSP antwoord ophaalt.

Op internet kan ik nergens vinden waar/hoe ik dit uit zou moeten zetten. Ik hoop dat iemand mij hier verder kan helpen.

Als ik onvolledig ben, of aanvullende vragen zijn hoor ik het ook graag. Alvast bedankt!

Ga morgen is kijken als ik weer op het werk ben.

Probleem is dat de webserver 'managed' is en de het bedrijf die het beheer uitvoert zegt dat de problemen te maken hebben met het certificaat en ik dus bij de uitgever van het certificaat moet zijn.

De uitgever van het certificaat zegt dat het certificaat juist is en ook juist is geïnstalleerd. Maar OCSP stapling op de webserver niet juist is geconfigureerd. En het uitzetten van de stapling geen noemenswaardige vertraging oplevert. En dat de beste oplossing is voor nu.

SSLLabs tests heb ik ook inderdaad herhaaldelijk uitgevoerd. Ook de uitgever van het certificaat wees me hierop en toont naar mijn inzicht aan dat alles volledig juist is. Overall rating: A

Op dezelfde server draait een andere applicatie ook met een 'normaal' SSL certificaat (ipv PKI) en ook OCSP support. Zal beide applicaties is door SSLLabs halen en de resultaten naast elkaar leggen.

Enigste verschil wat ik nu al wel weet is dat het "probleem geval" over een extra SAN in het certificaat heeft (om 2 hostnames te ondersteunen).

Edit: Geen noemenswaardige/vreemde verschillen.

[ Voor 4% gewijzigd door BoschR op 09-12-2014 22:38 ]

Bedankt voor je complete antwoord. PKI is inderdaad Public Key Infrastructure, maar zoals ik tegen kom worden de 'normale' certificaten simpelweg SSL genoemd. En de certificaten specifiek voor overheidsapplicaties PKI (of PKI-O(verheid)).

De techniek was voor mij ook nieuw, maar het speelt inmiddels te lang, waardoor er bij mij ook steeds meer inhoudelijke kennis onstaat. De stapling op de server zorgt er inderdaad voor dat de webserver zelf de servercertificaten valideert bij de OCSP server en dit antwoord bewaard. De server kan dus ook de geldigheid van het certificaat aantonen, ipv de client (browser) zelf een validatie moet doen bij de OCSP server.

OCSP serveromgevingen zijn duur en relatief nieuw. Veel uitgevers van certificaten werken nog met CRL lijsten.

Er zit inderdaad een Firewall tussen, die mogelijk het verkeer tegenhoudt. Ook dit betreft weer een 'managed' firewall door dezelfde beheerder (zgn 'next generation firewall', Fortigate).

Ik zal zo even onderzoeken of ik de URL kan vinden in het certificaat. En kijken wat er gebeurt als ik deze aanroep van de webserver.

We gaan een beetje offtopic, maar je hebt inderdaad gelijk. De SSL wereld is relatief nieuw voor mij, maar zeker interessant en actueel!

SSL is inpricipe ook geen SSL meer, maar TLS. Een goed ingerichte omgeving biedt geen ondersteuning meer aan aan de laatste versie SSL 3.0.

On: het probleem is nog niet verholpen, maar er is vandaag veel duidelijk geworden. Op de server ontbreken een aantal essentiële "trusted root" certificaten. Na verder zoeken blijkt dit tegen te worden gehouden door de Fortigate.