SSL Sertifika OCSP Kontrolü

SSL sertifikaları, internet güvenliğinin temel taşlarından biridir ve web sitelerinin kimlik doğruluğunu sağlar. Ancak sertifikaların iptal edilmiş (revoke) olup olmadığını gerçek zamanlı olarak kontrol etmek, güvenlik mimarisinin kritik bir parçasıdır. İşte burada OCSP (Online Certificate Status Protocol) devreye girer. OCSP, sertifika yetkililerinden (CA) doğrudan online sorgu yaparak sertifikanın geçerliliğini doğrular. Bu makalede, OCSP kontrolünün nasıl çalıştığını, uygulanmasını ve pratik ipuçlarını kurumsal bir perspektiften ele alacağız. Özellikle BT yöneticileri ve güvenlik uzmanları için adım adım rehberlik sunarak, sistemlerinizi daha güvenli hale getirmenize yardımcı olacağız.

OCSP Protokolünün Temelleri

OCSP, RFC 6960 standardına göre tanımlanmış bir protokoldür ve CRL (Certificate Revocation List) listelerine kıyasla daha dinamik bir yaklaşım sunar. CRL’ler periyodik olarak yayınlanan statik listelerken, OCSP her bağlantı sırasında bireysel sertifika sorgusu yapar. Bu sayede, iptal edilmiş sertifikaların anında tespit edilmesi sağlanır. Protokol, HTTP üzerinden çalışır ve istemci, sertifika seri numarasını CA’nın OCSP responder’ına gönderir. Yanıt olarak “good”, “revoked” veya “unknown” durumları döner. Kurumsal ortamlarda, OCSP stapling gibi uzantılarla gecikme minimize edilir.

OCSP’nin avantajı, revocation bilgilerinin taze kalmasıdır. Örneğin, bir çalışan sertifikası çalındığında, CA hemen OCSP responder’ını günceller ve istemciler bunu saniyeler içinde öğrenir. Uygulamada, OpenSSL gibi araçlarla test edilebilir: openssl ocsp -issuer ca.crt -cert client.crt -url http://ocsp.example.com -CAfile ca.crt komutuyla manuel sorgu yapılabilir. Bu temel anlayış, sonraki yapılandırma adımlarını kolaylaştırır.

OCSP İstek Yapısı

OCSP isteği, ASN.1 DER formatında kodlanır ve temel bileşenleri sertifika hash’i, seri numarası ve isteği imzalayan issuer’ı içerir. Nonce değeri, replay saldırılarını önler. İstemci, POST veya GET metoduyla responder’a ulaşır. Yanıt, OCSPResponse yapısında singleResponse dizisi barındırır ve her yanıt için thisUpdate/nextUpdate zaman damgaları geçerlilik süresini belirler. Pratikte, Nginx veya Apache gibi web sunucularında mod_ssl ile OCSP responder URL’si sertifika zincirine gömülür, böylece istemciler otomatik sorgu yapar.

OCSP ve CRL Karşılaştırması

CRL’ler büyük dosyalardır ve dağıtımı gecikmeli olurken, OCSP tek sorguyla lightweight’tir. Ancak OCSP, responder erişilebilirliğine bağımlıdır. Hibrit yaklaşımlarda CRL ön yükleme + OCSP delta kullanılır. Kurumsal olarak, Let’s Encrypt gibi ücretsiz CA’larda OCSP zorunludur ve tarayıcılar (Chrome, Firefox) varsayılan olarak etkinleştirir. Test için Wireshark ile trafiği yakalayın: OCSP istekleri port 80/443 üzerinden görünür ve yanıt kodları (200 OK) incelenebilir.

OCSP Kontrolünü Sunucu ve İstemci Tarafında Uygulama

Sunucu tarafında OCSP etkinleştirmek, istemcilerin güvenini artırır. Apache’de SSLVerifyClient require ve OCSP responder tanımlanır. Nginx’te ssl_stapling on; ssl_stapling_verify on; ile stapling aktif edilir – bu, sunucunun CA’dan önceden yanıt alıp istemciye sunmasını sağlar, gizliliği korur. Adım adım: 1) Sertifika AIA uzantısından OCSP URL’sini çıkarın (openssl x509 -in cert.pem -text). 2) Sunucu konfigürasyonuna ekleyin. 3) openssl s_client -connect example.com:443 -status ile doğrulayın. Bu işlem, gecikmeyi %50 azaltır.

• Sunucu stapling’i etkinleştirin: Responder yanıtını cache’leyin (genellikle 5 dakika).
• İstemci tarafında: curl –cacert ca.crt https://site.com ile OCSP header’larını kontrol edin.
• Güvenlik duvarı kurallarını açın: OCSP trafiği için outbound 80/443 izin verin.

İstemci tarafında, Java keystore’larda com.sun.security.ocsp.enabled=true ile etkinleştirilir. Kurumsal PKI’lerde, Active Directory Certificate Services OCSP responder’ı entegre edilir. Örnek senaryo: E-ticaret sitesinde, ödeme gateway’i OCSP başarısız olursa bağlantıyı keser, böylece sahte sertifikalar engellenir.

Sunucu Tarafı Yapılandırma Adımları

Apache için httpd.conf’a SSLUseStapling on ekleyin ve OCSP responder cache boyutunu ayarlayın. Nginx’te resolver 8.8.8.8; ile DNS çözümlemesi sağlayın. Test: ocsp-responder.log dosyalarını inceleyin, yanıt sürelerini ölçün (hedef <100ms). Hata durumunda fallback CRL kullanın. Bu adımlar, %99.9 uptime sağlar.

İstemci Doğrulama Mekanizmaları

Tarayıcılarda chrome://flags/#enable-ocsp-stapling etkin; Node.js’te tls.checkServerIdentity ile custom OCSP callback yazın. Mobil apps’lerde iOS Keychain OCSP’yi otomatik yönetir. Pratik takeaway: Uygulamanızda OCSP failure’ı loglayın ve alert sistemi kurun.

OCSP Güvenlik En İyi Uygulamaları ve Sorun Giderme

OCSP responder’larının DDoS’a açık olmaması için rate limiting uygulayın. Must-Staple uzantısı (RFC 7633) ile istemcileri zorunlu kılar. Sorun gidermede, “OCSP response not received” hatası için ağ bağlantısını test edin: traceroute ocsp.ca.com. Cache timeout’larını kısaltın. Kurumsal olarak, iç OCSP proxy’si kurun – trafiği filtreler ve yedekleme sağlar.

Performans Optimizasyonu

Stapling ile istemci sorgusunu ortadan kaldırın; sunucu cache’ini 300 saniye tutun. Load balancer’larda OCSP’yi upstream’e dağıtın. Benchmark: Apache Benchmark (ab) ile stapling’li/stapling’siz throughput karşılaştırın – fark %20-30 hız artışı. CDN’lerde (Cloudflare) otomatik OCSP proxy’si kullanın.

Yaygın Sorunlar ve Çözümleri

Responder down ise CRL fallback etkinleştirin. Nonce uyumsuzluğu için istemciyi güncelleyin. Log analizi: ELK stack ile OCSP failure rate’ini izleyin (<%1 hedef). Bu yaklaşımlar, zero-trust mimarisinde vazgeçilmezdir.

OCSP kontrolü, SSL ekosistemini güçlendirerek siber tehditlere karşı proaktif koruma sağlar. BT ekiplerinizle bu adımları uygulayarak, uyumluluğu artırın ve kullanıcı güvenini pekiştirin. Düzenli denetimler ve güncellemelerle sistemlerinizi geleceğe hazır tutun.