2022-10-03 分類: 網(wǎng)站建設(shè)
OCSP(Online Certificate Status Protocol),中文翻譯是在線證書狀態(tài)協(xié)議,是維護(hù)服務(wù)器和其它網(wǎng)絡(luò)資源安全性的兩種普遍模式之一。另一種更老的方法是證書注銷列表(CRL)已經(jīng)被在線證書狀態(tài)協(xié)議取代了很多年了。OCSP克服了證書注銷列表(CRL)的主要缺陷:必須經(jīng)常在客戶端下載以確保列表的更新。
CRL協(xié)議,這個(gè)協(xié)議的思路是客戶端通過定期的去CA那里請求一個(gè)被吊銷的證書列表,作為本地緩存,從而之后對服務(wù)器證書的驗(yàn)證就可以依賴這個(gè)緩存。但是這個(gè)方案需要客戶端去管理一個(gè)本地緩存,這相當(dāng)于把所有的責(zé)任都扔給了客戶端??蛻舳嗽L問CA的服務(wù)器的帶寬和穩(wěn)定性都存在疑問,所以這種方案是注定要輸給服務(wù)端的解決方案的。
OCSP是TLS協(xié)議的擴(kuò)展協(xié)議,在TLS的使用中,客戶端無法判斷一個(gè)還沒有過期的證書是否被吊銷了。因?yàn)镃A在頒發(fā)了證書之后大部分情況下都是等待這個(gè)證書過期了之后的自然失效,而如果CA出于某些原因要人為的吊銷某個(gè)證書就沒有了辦法。這個(gè)時(shí)候客戶端在從服務(wù)端拿到了一個(gè)證書之后,去找服務(wù)端的接口去驗(yàn)證一下這個(gè)證書的是否過期這一信息。
當(dāng)用戶試圖訪問一個(gè)服務(wù)器時(shí),OCSP(在線證書狀態(tài)協(xié)議)發(fā)送一個(gè)對于證書狀態(tài)信息的請求。服務(wù)器回復(fù)一個(gè)“有效”、“過期”或“未知”的響應(yīng)。協(xié)議規(guī)定了服務(wù)器和客戶端應(yīng)用程序的通訊語法。在線證書狀態(tài)協(xié)議給了用戶的到期的證書一個(gè)寬限期,這樣他們就可以在更新以前的一段時(shí)間內(nèi)繼續(xù)訪問服務(wù)器。
但客戶端由于網(wǎng)絡(luò)有各種各樣的情況,每個(gè)連接去驗(yàn)證國外的服務(wù)器的話就會帶來完全不可控的用戶體驗(yàn)和訪問延時(shí),并且對于CA來說也是一個(gè)不小的并發(fā)連接。所以O(shè)CSP一般會被應(yīng)用到服務(wù)端,給客戶端節(jié)省這部分的時(shí)間。服務(wù)端周期性的去連接CA的OCSP服務(wù)器,驗(yàn)證一個(gè)證書的合法性,存儲在本地。當(dāng)客戶端與服務(wù)端進(jìn)行TLS握手的時(shí)候,服務(wù)端在傳送了證書鏈之后(certificate消息),會繼續(xù)再傳輸一個(gè)certificate status消息,這個(gè)status消息就是服務(wù)端從CA的OCSP服務(wù)器那里獲得而來的證書吊銷狀態(tài)信息,雙方仍然是通過密碼學(xué)的方式保證了客戶端可以確認(rèn)這個(gè)確認(rèn)消息來源于CA。
OCSP與傳統(tǒng)的CRL比較有以下特點(diǎn):
? 由于相對于傳統(tǒng)的CRL,一個(gè)ocsp響應(yīng)包含的信息更少,故ocsp能夠更有效利用網(wǎng)絡(luò)和客戶資源
? 用OCSP,客戶無需自己解析CRL證書吊銷列表,但是客戶需要存儲狀態(tài)信息,而由于客戶側(cè)需要維護(hù)存儲緩存,故導(dǎo)致存儲信息很復(fù)雜。在實(shí)際使用中,這點(diǎn)帶來的影響卻很小,由于第三庫提供的相關(guān)接口已經(jīng)幫我們完成此類工作
? OCSP通過專用網(wǎng)絡(luò)、專用證書、在特定的時(shí)間公開其服務(wù)。OCSP不強(qiáng)制加密,故可能帶來信息泄露的風(fēng)險(xiǎn)。
OCSP的調(diào)用流程如下:
1. OCSP服務(wù)器與CA數(shù)據(jù)庫建立數(shù)據(jù)庫連接;
2. 應(yīng)用程序使用OCSP客戶端接口查詢指定證書的狀態(tài);
3. OCSP客戶端接口封裝OCSP請求;
4. OCSP客戶端接口與OCSP服務(wù)器建立HTTP連接;
5. OCSP客戶端接口通過HTTP連接發(fā)送OCSP請求到OCSP服務(wù)器;
6. OCSP服務(wù)器解析OCSP請求;
7. OCSP服務(wù)器直接查詢CA數(shù)據(jù)庫,獲得最新證書狀態(tài);
8. OCSP服務(wù)器封裝并簽發(fā)OCSP響應(yīng);
9. OCSP服務(wù)器通過HTTP連接返回響應(yīng);
10. OCSP客戶端接口關(guān)閉HTTP連接;
11. OCSP客戶端接口解析OCSP響應(yīng);
12. OCSP客戶端接口返回證書狀態(tài)給應(yīng)用程序。
那么OCSP現(xiàn)如今就的到了全面的應(yīng)用了嗎?并不是,實(shí)際上Chrome自己搭建服務(wù)器維護(hù)了一套CRL列表,所以Chrome瀏覽器可以不用去CA那里每次去查看一下這個(gè)證書是否過期。但是CRL是個(gè)逐漸過時(shí)的技術(shù),新的技術(shù)是OCSP,本質(zhì)上OCSP解決的問題與谷歌自己搭建CRL服務(wù)器解決的問題都是一樣的,就是一個(gè)在服務(wù)器端異步的去完成對證書有效性的檢查的問題。因?yàn)檫@個(gè)證書有效性的檢查是延時(shí)非常高的。在網(wǎng)易的服務(wù)器到Let’s Encrty測試的速度還是可控的,但是到亞信的服務(wù)器的延時(shí)將達(dá)到十幾秒。這種級別的延時(shí)如果讓用戶的客戶端每次都去做的話,客戶端根本沒辦法使用。
所以,到底是業(yè)務(wù)的服務(wù)器來做這件事還是瀏覽器自己搭建服務(wù)器去做這件事本質(zhì)上都是一樣的。按照市場的角度分析,最終很可能一直會保持谷歌的這種CRL服務(wù)器的模式,因?yàn)椴豢赡芤笏械姆?wù)器都提供OCSP的能力,但是客戶端卻一直需要這種驗(yàn)證的結(jié)果的。
分享標(biāo)題:什么是OCSP?
鏈接分享:http://www.rwnh.cn/news5/200955.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供ChatGPT、用戶體驗(yàn)、微信公眾號、外貿(mào)建站、面包屑導(dǎo)航、外貿(mào)網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容