什么是OCSP协议
1. 简介
OCSP协议是CRL的替代品,用来检查证书撤销状态的网际协议。
证书吊销列表CRL是一个维护已撤销证书的列表,由浏览器定期下载下来,检查客户端访问的网站证书是否被撤销,但随着证书越来越多,这种方法性能越来越差,因此有了OCSP协议。
2. 与CRL比较 1
作为CRL的替代品,OCSP协议的优势有哪些呢?
- OCSP可以提供有关证书吊销状态的更及时的信息。
- OCSP不需要客户端自己检索CRL(更好的带宽管理)。
- OCSP允许证书过期的用户有宽限期(减少证书过期的停机时间)。
3. 使用方法
- 客户端握手时请求服务器端证书
- 服务器端向客户提供服务器证书
- 客户端向OCSP Responder请求证书状态
- OCSP Responder相应客户端对状态的请求。
关于以上步骤的Q&A
Q1: 响应的内容都有哪些?
A1: 正常(Good)、已撤销(Revoked)、未知(Unknown)。如果有无法处理的请求,则会返回一个错误码。
Q1: 什么是OCSP Responder?
A1: 此消息类型分为“请求消息”和“响应消息”,因此致OCSP服务器被称为“OCSP响应端”。2 是一个由数字证书认证机构运行的OCSP服务器。
4.OCSP装订
想象一下,当客户端访问网站时,同时发送OCSP请求给OCSP响应端,并在得到请求结果前阻塞与网站的交流是一件很影响性能的事情。因此OCSP Stampling出现了。
OCSP Stapling(OCSP 封套),是指服务端在证书链中包含颁发机构对证书的 OCSP 查询结果,从而让浏览器跳过自己去验证的过程。服务端有更快的网络,获取 OCSP 响应更容易,也可以将 OCSP 响应缓存起来。3
这里要注意,服务器端的OCSP是使用自己的私钥签名的,因此无法伪造。
5.OCSP的缺陷
可能会被重放攻击,即使该网站证书已经被撤销,但中间人保存下来过去的OCSP响应发送给客户端。
6.与SCT的关系
OCSP支持附加扩展以便对PKI解决方案进行定制,如在响应中包含SCT信息来验证相关证书是否通过了公开审计2。更多阅读
