OCSP（Online Certificate Status Protocol），中文翻譯是在線證書(shū)狀態(tài)協(xié)議，是維護(hù)服務(wù)器和其它網(wǎng)絡(luò)資源安全性的兩種普遍模式之一。另一種更老的方法是證書(shū)注銷列表（CRL）已經(jīng)被在線證書(shū)狀態(tài)協(xié)議取代了很多年了。OCSP克服了證書(shū)注銷列表（CRL）的主要缺陷：必須經(jīng)常在客戶端下載以確保列表的更新。

CRL協(xié)議，這個(gè)協(xié)議的思路是客戶端通過(guò)定期的去CA那里請(qǐng)求一個(gè)被吊銷的證書(shū)列表，作為本地緩存，從而之后對(duì)服務(wù)器證書(shū)的驗(yàn)證就可以依賴這個(gè)緩存。但是這個(gè)方案需要客戶端去管理一個(gè)本地緩存，這相當(dāng)于把所有的責(zé)任都扔給了客戶端。客戶端訪問(wèn)CA的服務(wù)器的帶寬和穩(wěn)定性都存在疑問(wèn)，所以這種方案是注定要輸給服務(wù)端的解決方案的。

OCSP是TLS協(xié)議的擴(kuò)展協(xié)議，在TLS的使用中，客戶端無(wú)法判斷一個(gè)還沒(méi)有過(guò)期的證書(shū)是否被吊銷了。因?yàn)镃A在頒發(fā)了證書(shū)之后大部分情況下都是等待這個(gè)證書(shū)過(guò)期了之后的自然失效，而如果CA出于某些原因要人為的吊銷某個(gè)證書(shū)就沒(méi)有了辦法。這個(gè)時(shí)候客戶端在從服務(wù)端拿到了一個(gè)證書(shū)之后，去找服務(wù)端的接口去驗(yàn)證一下這個(gè)證書(shū)的是否過(guò)期這一信息。

當(dāng)用戶試圖訪問(wèn)一個(gè)服務(wù)器時(shí)，OCSP（在線證書(shū)狀態(tài)協(xié)議）發(fā)送一個(gè)對(duì)于證書(shū)狀態(tài)信息的請(qǐng)求。服務(wù)器回復(fù)一個(gè)“有效”、“過(guò)期”或“未知”的響應(yīng)。協(xié)議規(guī)定了服務(wù)器和客戶端應(yīng)用程序的通訊語(yǔ)法。在線證書(shū)狀態(tài)協(xié)議給了用戶的到期的證書(shū)一個(gè)寬限期，這樣他們就可以在更新以前的一段時(shí)間內(nèi)繼續(xù)訪問(wèn)服務(wù)器。

但客戶端由于網(wǎng)絡(luò)有各種各樣的情況，每個(gè)連接去驗(yàn)證國(guó)外的服務(wù)器的話就會(huì)帶來(lái)完全不可控的用戶體驗(yàn)和訪問(wèn)延時(shí)，并且對(duì)于CA來(lái)說(shuō)也是一個(gè)不小的并發(fā)連接。所以O(shè)CSP一般會(huì)被應(yīng)用到服務(wù)端，給客戶端節(jié)省這部分的時(shí)間。服務(wù)端周期性的去連接CA的OCSP服務(wù)器，驗(yàn)證一個(gè)證書(shū)的合法性，存儲(chǔ)在本地。當(dāng)客戶端與服務(wù)端進(jìn)行TLS握手的時(shí)候，服務(wù)端在傳送了證書(shū)鏈之后（certificate消息），會(huì)繼續(xù)再傳輸一個(gè)certificate status消息，這個(gè)status消息就是服務(wù)端從CA的OCSP服務(wù)器那里獲得而來(lái)的證書(shū)吊銷狀態(tài)信息，雙方仍然是通過(guò)密碼學(xué)的方式保證了客戶端可以確認(rèn)這個(gè)確認(rèn)消息來(lái)源于CA。

OCSP與傳統(tǒng)的CRL比較有以下特點(diǎn)：

? 由于相對(duì)于傳統(tǒng)的CRL，一個(gè)ocsp響應(yīng)包含的信息更少，故ocsp能夠更有效利用網(wǎng)絡(luò)和客戶資源

? 用OCSP，客戶無(wú)需自己解析CRL證書(shū)吊銷列表，但是客戶需要存儲(chǔ)狀態(tài)信息，而由于客戶側(cè)需要維護(hù)存儲(chǔ)緩存，故導(dǎo)致存儲(chǔ)信息很復(fù)雜。在實(shí)際使用中，這點(diǎn)帶來(lái)的影響卻很小，由于第三庫(kù)提供的相關(guān)接口已經(jīng)幫我們完成此類工作

? OCSP通過(guò)專用網(wǎng)絡(luò)、專用證書(shū)、在特定的時(shí)間公開(kāi)其服務(wù)。OCSP不強(qiáng)制加密，故可能帶來(lái)信息泄露的風(fēng)險(xiǎn)。

OCSP的調(diào)用流程如下：

1. OCSP服務(wù)器與CA數(shù)據(jù)庫(kù)建立數(shù)據(jù)庫(kù)連接；

2. 應(yīng)用程序使用OCSP客戶端接口查詢指定證書(shū)的狀態(tài)；

3. OCSP客戶端接口封裝OCSP請(qǐng)求；

4. OCSP客戶端接口與OCSP服務(wù)器建立HTTP連接；

5. OCSP客戶端接口通過(guò)HTTP連接發(fā)送OCSP請(qǐng)求到OCSP服務(wù)器；

6. OCSP服務(wù)器解析OCSP請(qǐng)求；

7. OCSP服務(wù)器直接查詢CA數(shù)據(jù)庫(kù)，獲得最新證書(shū)狀態(tài)；

8. OCSP服務(wù)器封裝并簽發(fā)OCSP響應(yīng)；

9. OCSP服務(wù)器通過(guò)HTTP連接返回響應(yīng)；

10. OCSP客戶端接口關(guān)閉HTTP連接；

11. OCSP客戶端接口解析OCSP響應(yīng)；

12. OCSP客戶端接口返回證書(shū)狀態(tài)給應(yīng)用程序。

那么OCSP現(xiàn)如今就的到了全面的應(yīng)用了嗎？并不是，實(shí)際上Chrome自己搭建服務(wù)器維護(hù)了一套CRL列表，所以Chrome瀏覽器可以不用去CA那里每次去查看一下這個(gè)證書(shū)是否過(guò)期。但是CRL是個(gè)逐漸過(guò)時(shí)的技術(shù)，新的技術(shù)是OCSP，本質(zhì)上OCSP解決的問(wèn)題與谷歌自己搭建CRL服務(wù)器解決的問(wèn)題都是一樣的，就是一個(gè)在服務(wù)器端異步的去完成對(duì)證書(shū)有效性的檢查的問(wèn)題。因?yàn)檫@個(gè)證書(shū)有效性的檢查是延時(shí)非常高的。在網(wǎng)易的服務(wù)器到Let’s Encrty測(cè)試的速度還是可控的，但是到亞信的服務(wù)器的延時(shí)將達(dá)到十幾秒。這種級(jí)別的延時(shí)如果讓用戶的客戶端每次都去做的話，客戶端根本沒(méi)辦法使用。

所以，到底是業(yè)務(wù)的服務(wù)器來(lái)做這件事還是瀏覽器自己搭建服務(wù)器去做這件事本質(zhì)上都是一樣的。按照市場(chǎng)的角度分析，最終很可能一直會(huì)保持谷歌的這種CRL服務(wù)器的模式，因?yàn)椴豢赡芤笏械姆?wù)器都提供OCSP的能力，但是客戶端卻一直需要這種驗(yàn)證的結(jié)果的。

網(wǎng)頁(yè)名稱：什么是OCSP？
URL網(wǎng)址：http://aaarwkj.com/news/200955.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)、定制網(wǎng)站、搜索引擎優(yōu)化、品牌網(wǎng)站制作、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)