您现在的位置是:主页 > 云服务器 >

淘客单-OCSP的挑战与成功

2020-10-27 14:56云服务器 人已围观

简介OCSP的挑战与成功2018年12月11日作者:萨梅特·阿加瓦尔云数据安全、工程、雪花技术作为SaaS平台,客户依赖于雪花提供高可用性服务。在过去的几周里,我们发生了两次中断,一些地...

OCSP的挑战与成功

OCSP的挑战成功2018年12月11日作者:萨梅特·阿加瓦尔云数据安全、工程、雪花技术作为SaaS平台,客户依赖于雪花提供高可用性服务。在过去的几周里,我们发生了两次中断,一些地区的客户无法连接到雪花,因为SSL证书的在线证书状态协议(OCSP)验证。我们已经写信给我们的客户,对干扰给他们带来的不便表示歉意。我们也在努力改进我们的系统和流程,以防止将来发生此类事件。这个博客展示了我们面临的挑战和权衡,以及下一步要做什么。保护Web:OCSP上的背景SSL/TLS证书以及颁发它们的证书颁发机构(ca)构成了我们如何建立安全和可信通信的主干。客户端可以使用这些证书来验证与他们通信的人的身份,并确保恶意参与者不会劫持他们的重要信息。证书撤销检查是身份验证的重要组成部分。拥有撤销以前有效的证书的能力,我们可以快速响应与证书相关的私钥被破坏或被盗,并防止对该证书的欺诈性使用。这听起来可能是理论上的,但我们曾发生过一次大范围的"心血"漏洞事件,数百万个证书可能受到危害,必须被吊销。OCSP(online certificate status protocol)是客户端用来检查其拥有的证书是否仍然有效且尚未被吊销的协议。在检查撤销的不同方法中,它是最安全的,并且允许在撤销发生时作出最快的响应。OCSP面临的挑战虽然OCSP提供了对证书吊销状态最安全的检查,但是OCSP有几个挑战。由于OCSP依赖于在客户机连接上响应的ca,它使它们能够以高度可靠的方式运行在线服务。CA是经过优化以提供信任和责任感的组织,但不一定是具有弹性的基础设施。即使CA的响应暂时不可用,也很难检查是否撤销。由于这些可用性挑战,大多数检查OCSP的客户机都选择静默地忽略吊销检查失败(称为"软失败")。不幸的是,这大大降低了OCSP检查的价值,因为它在试图阻止的情况下失败。正如谷歌软件工程师亚当·兰利(Adam Langley)在一篇博客文章中所说:"软故障撤销检查就像是安全带,在你撞车时会折断。尽管99%的时间都能用,但它毫无价值,因为它只在你不需要的时候才起作用。"雪花的目标:建立更强大的OCSP雪花选择了在OCSP上采取更强硬的立场。当我们的客户机无法检查证书的吊销状态或所有用于验证证书的中间证书时,连接失败(一种"硬失败"策略)。我们的客户非常信任雪花保护他们的数据,我们有责任确保我们尽我们所能保护他们的数据。我们对客户机驱动程序使用的所有连接都这样做,不只是雪花连接,还有其他第三方服务,如aws3、azureblob Store、Okta等。在过去的一年中,我们一直在缓解通常与"硬失败"策略相关的可用性挑战。OCSP的常见问题是证书颁发机构无法响应,因为它们的响应程序暂时不可用。为了缓解这种情况,我们构建了一个解决方案,其中雪花服务查询并缓存来自证书颁发机构的OCSP响应。这使得我们的客户机驱动程序能够建立连接,即使CA的OCSP响应程序暂时不可用。这是可能的,而且是安全的,大数据可视化,大数据趋势,因为CA会对OCSP响应进行签名,这些响应的有效期为一天或多天。只要CA的OCSP响应程序偶尔能够为吊销检查提供有效的响应,我们就可以继续为客户维护高可用性服务。在过去的几周里,我们看到的是一种完全不同的故障模式,这是我们在过去没有见过的,也没有在安全社区报告过。临时生成了两个OCCA吊销响应,而不是对两个OCCA进行脱机检查。由于ca是信任的最终权威,它们无法确认证书没有被撤销,这意味着与使用该证书的Snowflake的连接失败。未来计划我们认为,为应对这些挑战而削弱运行在云中的企业服务的安全性是不可接受的。我们正在采取一些措施来缓解可用性问题,同时继续保持证书接受和吊销检查的高标准。我们正在建立一个早期预警系统,个人云服务器家用搭建,当CAs没有提供最新的OCSP响应时,它会向我们发出警报。这可以为我们指出CA的潜在情况,这可能导致将来的响应过期。我们可以利用这一点开始与他们合作,在客户实际看到过期响应之前解决问题,以消除或缩短影响的时间。此外,我们正在构建一个集中式控制,物联网技术及应用,在我们与CAs合作解决问题时,它可以在短时间内安全地暂停受影响客户的吊销检查。当我们实现这些机制时,我们目前为客户提供了一种在软故障模式下临时配置客户机驱动程序的方法,用于撤销检查,以解决OCSP引发的连接问题。雪花致力于与我们的客户合作,并在整个旅程中尽可能透明。我们非常感谢你们在这方面的耐心和合作。截至2019年5月6日,大数据课程,雪花处理OCSP的方式发生了变化。在这里阅读更多。就像你读的?通过喜欢和分享来表达你的感激之情!Facebook推特LinkedIn

Tags: 成功  挑战  OCSP 

标签云

站点信息

  • 文章统计3903篇文章
  • 标签管理标签云
  • 微信公众号:扫描二维码,关注我们