什么是OCSP？

OCSP（Online Certificate Status Protocol），中文翻譯是在線證書狀態(tài)協(xié)議，是維護(hù)服務(wù)器和其它網(wǎng)絡(luò)資源安全性的兩種普遍模式之一。另一種更老的方法是證書注銷列表（CRL）已經(jīng)被在線證書狀態(tài)協(xié)議取代了很多年了。OCSP克服了證書注銷列表（CRL）的主要缺陷：必須經(jīng)常在客戶端下載以確保列表的更新。

CRL協(xié)議，這個(gè)協(xié)議的思路是客戶端通過定期的去CA那里請(qǐng)求一個(gè)被吊銷的證書列表，作為本地緩存，從而之后對(duì)服務(wù)器證書的驗(yàn)證就可以依賴這個(gè)緩存。但是這個(gè)方案需要客戶端去管理一個(gè)本地緩存，這相當(dāng)于把所有的責(zé)任都扔給了客戶端。客戶端訪問CA的服務(wù)器的帶寬和穩(wěn)定性都存在疑問，所以這種方案是注定要輸給服務(wù)端的解決方案的。

OCSP是TLS協(xié)議的擴(kuò)展協(xié)議，在TLS的使用中，客戶端無法判斷一個(gè)還沒有過期的證書是否被吊銷了。因?yàn)镃A在頒發(fā)了證書之后大部分情況下都是等待這個(gè)證書過期了之后的自然失效，而如果CA出于某些原因要人為的吊銷某個(gè)證書就沒有了辦法。這個(gè)時(shí)候客戶端在從服務(wù)端拿到了一個(gè)證書之后，去找服務(wù)端的接口去驗(yàn)證一下這個(gè)證書的是否過期這一信息。

當(dāng)用戶試圖訪問一個(gè)服務(wù)器時(shí)，OCSP（在線證書狀態(tài)協(xié)議）發(fā)送一個(gè)對(duì)于證書狀態(tài)信息的請(qǐng)求。服務(wù)器回復(fù)一個(gè)“有效”、“過期”或“未知”的響應(yīng)。協(xié)議規(guī)定了服務(wù)器和客戶端應(yīng)用程序的通訊語法。在線證書狀態(tài)協(xié)議給了用戶的到期的證書一個(gè)寬限期，這樣他們就可以在更新以前的一段時(shí)間內(nèi)繼續(xù)訪問服務(wù)器。

但客戶端由于網(wǎng)絡(luò)有各種各樣的情況，每個(gè)連接去驗(yàn)證國(guó)外的服務(wù)器的話就會(huì)帶來完全不可控的用戶體驗(yàn)和訪問延時(shí)，并且對(duì)于CA來說也是一個(gè)不小的并發(fā)連接。所以O(shè)CSP一般會(huì)被應(yīng)用到服務(wù)端，給客戶端節(jié)省這部分的時(shí)間。服務(wù)端周期性的去連接CA的OCSP服務(wù)器，驗(yàn)證一個(gè)證書的合法性，存儲(chǔ)在本地。當(dāng)客戶端與服務(wù)端進(jìn)行TLS握手的時(shí)候，服務(wù)端在傳送了證書鏈之后（certificate消息），會(huì)繼續(xù)再傳輸一個(gè)certificate status消息，這個(gè)status消息就是服務(wù)端從CA的OCSP服務(wù)器那里獲得而來的證書吊銷狀態(tài)信息，雙方仍然是通過密碼學(xué)的方式保證了客戶端可以確認(rèn)這個(gè)確認(rèn)消息來源于CA。

OCSP與傳統(tǒng)的CRL比較有以下特點(diǎn)：

? 由于相對(duì)于傳統(tǒng)的CRL，一個(gè)ocsp響應(yīng)包含的信息更少，故ocsp能夠更有效利用網(wǎng)絡(luò)和客戶資源

? 用OCSP，客戶無需自己解析CRL證書吊銷列表，但是客戶需要存儲(chǔ)狀態(tài)信息，而由于客戶側(cè)需要維護(hù)存儲(chǔ)緩存，故導(dǎo)致存儲(chǔ)信息很復(fù)雜。在實(shí)際使用中，這點(diǎn)帶來的影響卻很小，由于第三庫(kù)提供的相關(guān)接口已經(jīng)幫我們完成此類工作

? OCSP通過專用網(wǎng)絡(luò)、專用證書、在特定的時(shí)間公開其服務(wù)。OCSP不強(qiáng)制加密，故可能帶來信息泄露的風(fēng)險(xiǎn)。

OCSP的調(diào)用流程如下：

1. OCSP服務(wù)器與CA數(shù)據(jù)庫(kù)建立數(shù)據(jù)庫(kù)連接；

2. 應(yīng)用程序使用OCSP客戶端接口查詢指定證書的狀態(tài)；

3. OCSP客戶端接口封裝OCSP請(qǐng)求；

4. OCSP客戶端接口與OCSP服務(wù)器建立HTTP連接；

5. OCSP客戶端接口通過HTTP連接發(fā)送OCSP請(qǐng)求到OCSP服務(wù)器；

6. OCSP服務(wù)器解析OCSP請(qǐng)求；

7. OCSP服務(wù)器直接查詢CA數(shù)據(jù)庫(kù)，獲得最新證書狀態(tài)；

8. OCSP服務(wù)器封裝并簽發(fā)OCSP響應(yīng)；

9. OCSP服務(wù)器通過HTTP連接返回響應(yīng)；

10. OCSP客戶端接口關(guān)閉HTTP連接；

11. OCSP客戶端接口解析OCSP響應(yīng)；

12. OCSP客戶端接口返回證書狀態(tài)給應(yīng)用程序。

那么OCSP現(xiàn)如今就的到了全面的應(yīng)用了嗎？并不是，實(shí)際上Chrome自己搭建服務(wù)器維護(hù)了一套CRL列表，所以Chrome瀏覽器可以不用去CA那里每次去查看一下這個(gè)證書是否過期。但是CRL是個(gè)逐漸過時(shí)的技術(shù)，新的技術(shù)是OCSP，本質(zhì)上OCSP解決的問題與谷歌自己搭建CRL服務(wù)器解決的問題都是一樣的，就是一個(gè)在服務(wù)器端異步的去完成對(duì)證書有效性的檢查的問題。因?yàn)檫@個(gè)證書有效性的檢查是延時(shí)非常高的。在網(wǎng)易的服務(wù)器到Let’s Encrty測(cè)試的速度還是可控的，但是到亞信的服務(wù)器的延時(shí)將達(dá)到十幾秒。這種級(jí)別的延時(shí)如果讓用戶的客戶端每次都去做的話，客戶端根本沒辦法使用。

所以，到底是業(yè)務(wù)的服務(wù)器來做這件事還是瀏覽器自己搭建服務(wù)器去做這件事本質(zhì)上都是一樣的。按照市場(chǎng)的角度分析，最終很可能一直會(huì)保持谷歌的這種CRL服務(wù)器的模式，因?yàn)椴豢赡芤笏械姆?wù)器都提供OCSP的能力，但是客戶端卻一直需要這種驗(yàn)證的結(jié)果的。

分享標(biāo)題：什么是OCSP？
鏈接分享：http://www.muchs.cn/news5/200955.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、用戶體驗(yàn)、微信公眾號(hào)、外貿(mào)建站、面包屑導(dǎo)航、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)