CRLx, AIAx információk

Fontos információk a CRLx, AIAx NetLock elérések használatáról

A weboldal használatához a következő fontos információkat érdemes megjegyezni, hiba esetén először az alábbi leírást érdemes tanulmányozni.

1. A visszavonási információk csak http protokollon elérhetőek. Https hozzáférés nem elérhető az alábbi okok miatt:

A tanúsítványok AIA:CAIssuers és AIA:OCSP és CDP mezői http linkeket tartalmaznak.

Az ilyen kérések csak publikus adatot tartalmaznak, így titkosításuk nem szükséges.

2. A CA tanúsítványok természetüknél fogva egyáltalán nem változnak így elegendő egyszer letölteni az érvényességük ideje alatt.
A MacOSX ocspd és securityd sajnos ezt nem kezeli helyesen, folyamatosan újra és újra lekéri, ezért ezen esetekben elképzelhető a DoS védelem bekapcsolódása.

3. A publikált CRL-ek legalább 16 órán át érvényesek, ezért nem szükséges a túl gyakori letöltésük. A http válaszok fejlécében cache vezérlő információk is találhatók.

4. A weboldal DoS védelemmel van ellátva, így lehetséges, hogy egy-egy kliens IP címe blokkolásra kerül egy rövid időre.

5. A rendellenes http kéréseket is szűrjük.

Hibakeresés

Feltételezve, hogy a kérésben szereplő URL helyes, az alábbi hibákat tapasztalhatja:

1.

Probléma: Minden kérésre “HTTP 403 Forbidden” válasz érkezik

Információ: rendellenes http kérés miatt a szerver megtagadja a választ

Megoldás: a kérésnek meg kell felelnie az alábbi néhány szabálynak:

Az User-Agent headernek léteznie kell és valós böngésző nevet kell tartalmaznia

Ne használjon robotra utaló User-Agent headert

Amennyiben a kérés Pragma header tartalmaz, úgy a Cache-Control mező is kötelező

A Host headernek a szerver FQDNjét kell tartalmaznia, IP cím nem megengedett

2.

Probléma: Általában megfelelő válasz érkezik a kérésekre, de előfordul, hogy “HTTP 403 Forbidden” hibaüzenet érkezik ugyanolyan kérésre.

Információ: bizonyos letöltési gyakoriság felett aktiválódik a DoS védelem. Nagy tömegű aláírást végzők tipikus problémája.

Megoldás: Lassítani kell a kérések gyakoriságát. Amennyiben a megengedettnél sűrűbb lekérés szükséges, külön megállapodás alapján tudjuk biztosítani. Kérjük, vegye fel a kapcsolatot a NetLock Kft.-vel az alábbi email címen.

Amennyiben bármilyen további problémája merül fel az oldal használata során, vegye fel a kapcsolatot a rendszer üzemeltetőivel a support@netlock.hu email címen.

Important info about the access of CRLx and AIAx NetLock site

To use this website, you need to keep in mind a few rules. If you’ve got an error please check the troubleshooting section.

1. The revocation and CA info is available only on http protocol. No https service provided due to the following reasons:

The AIA:CAIssuers, AIA:OCSP and CDP fields of the certificates are http URLs.

These referenced files contain public data only, so encryption of the communication is useless.

2. Because of the nature of CA certificates, they are not changing at all so it is enough to download them from the AIA URLs once in their lifetime.
On the MacOSX the ocspd and securityd unfortunately does not handle this correctly. These components are requesting the CA certificates again and again, thereby the DoS protection may be triggered by those clients.

3. There are at least 16 hours left before a published CRL expires. It’s not needed to request these CRLs too frequently. There is cache control information in responses.

4. The website has DoS protection, so it is possible, that an IP address gets blocked for a short time, if it’s request rate is too high.

5. HTTP protocol anomalies are filtered as well.

Troubleshooting

Assuming that the URL is correct in your request you can encounter following errors:

1.

Problem: You get “HTTP 403 Forbidden“ error all the time.

Info: The webserver does not accept http protocol anomalies

Solution: you should ensure that the request fulfills following basic requirements:

The User-Agent header should exist and filled with a real browser name.

Do not use Robot’s name in the User-Agent header.

If the request has Pragma header, then the Cache-Control header is also needed.

Host header must contain the webserver’s FQDN, IP address is not allowed.

2.

Problem: You usually get a correct response but sometimes “HTTP 403 Forbidden” in reply to the same request.

Info: DoS protection will block client’s IP address for a short time if it exceeds a certain request rate. This is the typical problem of batch signing operators.

Solution: Slow down you requests. If the high rate requests are really necessary we can serve them according to an agreement. Please contact us!

If you have any further problems with this site, you can contact operating staff at NetLock: support@netlock.hu