在线证书状态协议
在线证书状态协议(英语:Online Certificate Status Protocol,缩写:OCSP)是一个用于获取X.509数码证书撤销状态的网际协议,[1]在RFC 6960中定义,作为证书吊销列表(CRL)的替代品解决了在公开密钥基础建设(PKI)中使用证书吊销列表而带来的多个问题。[2]协议数据传输过程中使用ASN.1编码,并通常建立在HTTP协议上,此消息类型分为“请求消息”和“响应消息”,因此致OCSP伺服器被称为“OCSP响应端”。
与证书吊销列表(CRL)的比较
基本PKI应用场景
- Alice与Bob使用Carol颁发的数码证书。该场景中Carol是证书颁发机构(CA);
- Alice向Bob发送其由Carol颁发的数码证书,并发出请求建立连接的申请;
- Bob担心Alice的私钥已经泄露,因此向Carol发送“OCSP请求”消息并包含Alice的数码证书序列号;
- Carol的OCSP响应端从Bob发送的消息中获取数码证书的序列号,并在CA数据库中查找该数码证书的状态;
- Carol向Bob发送由其私钥签名的消息“OCSP响应”,并包含证书状态正常的资讯;
- 由于Bob事先已经安装了Carol的数码证书,因此Bob使用Carol的公钥验证消息签名并获取到Alice的数码证书状态资讯;
- Bob决定与Alice进行通信。
协议资讯
由数码证书认证机构运行的OCSP伺服器会对请求返回经过其签名的证书状态资讯,分别为:正常(Good)、已废除(Revoked)、未知(Unknown)。如果有无法处理的请求,则会返回一个错误码。
OCSP支持附加扩展以便对PKI解决方案进行定制,如在响应中包含SCT资讯来验证相关证书是否通过了公开审计。[5]
OCSP在极端情况下可能遭受重放攻击。中间人可以捕获一个已签名的“正常”响应,并在之后的一段时间重放这个响应来通过客户端的验证,即使在这段时间里证书可能已经被撤销。[6]为避免这个问题,OCSP允许客户端在请求中加入一个随机数并要求伺服器在响应中包含这个随机数。但是由于大多数客户端和伺服器还没有支持这个扩展,OCSP响应的较长有效期可能给重放攻击留下机会并借此威胁整个验证系统。
OCSP可以支持多于一级的CA结构。请求被转发到对应的伺服器节点并查询状态,从而无须使用根CA的OCSP请求。
用于签名响应的私钥不需要和签发证书的私钥相同。证书的签发者可能委托其他机构响应OCSP请求。在这种情况下,伺服器的证书必须由签发者进行验证,并在扩展内容中包括相关资讯标识该证书可用于OCSP响应的签名。
隐私问题
OCSP对于部分用户来讲会造成隐私问题,因为OCSP必须和一个第三方建立连接(即使这个第三方是被软件提供商信任的)以验证证书状态。对此,OCSP装订是一个无须和CA发生连接的替选方案。
批评
OCSP不是缓解HTTPS伺服器私钥泄露的可靠方法,因为攻击者窃取私钥后,再滥用私钥进行中间人攻击(MITM)时,往往也会干扰客户的OCSP查询,因为如果查询超时,大多数客户端将忽略OCSP,导致OCSP机制失效无法及时查询到证书吊销资讯。[7]
浏览器支持情况
对于OCSP在主流浏览器中的支持:
- Internet Explorer:Windows Vista的IE7上正式加入OCSP支持,由系统的CryptoAPI实现。[8]
- Firefox:从Firefox 3开始默认开启。[9]
- Safari:从Mac OS X 10.7开始默认开启,在此之前则必须手动配置。[10]
- Opera:从8.0[11][12]开始默认开启。
需要注意的是,Google Chrome在2012年由于延迟和隐私问题禁用了OCSP的默认启用,[13]改用自己的更新机制来同步证书撤销情况。[14]
开源实现
目前的开源实现有:
- XiPKI,基于OSGi,使用Java语言编写。[15]
参见
参考链接
- ^ 1.0 1.1 A., Jesin. How To Configure OCSP Stapling on Apache and Nginx. Community Tutorials. Digital Ocean, Inc. 2014-06-12 [2015-03-02]. (原始内容存档于2016-08-10).
- ^ OCSP Stapling. GlobalSign Support. GMO GlobalSign Inc. 2014-08-01 [2015-03-02]. (原始内容存档于2019-06-08).
- ^ Gibson, Steve. Security Certificate Revocation Awareness: The case for "OCSP Must-Staple". Gibson Research Corporation. [2015-03-02]. (原始内容存档于2016-04-15).
- ^ Keeler, David. OCSP Stapling in Firefox. Mozilla Security Blog. Mozilla Foundation. 2013-07-29 [2015-03-02]. (原始内容存档于2016-09-11).
- ^ Certificate Transparency. How Certificate Transparency Works. Certificate Transparency. [2016-06-09]. (原始内容存档于2016-06-10) (英语).
- ^ RFC 6960, section 5, Security Considerations
- ^ No, Don't Enable Revocation Checking. 2014-04-19 [2014-04-24]. (原始内容存档于2016-08-12).
- ^ What’s New in Certificate Revocation in Windows Vista and Windows Server 2008. Microsoft. [2016-05-09]. (原始内容存档于2017-12-19).
- ^ Mozilla Bug 110161 - Enable OCSP by Default. Mozilla. 2007-10-01 [2010-07-18]. (原始内容存档于2016-03-15).
- ^ Wisniewski, Chester. Apple users left to defend themselves against certificate attacks. Sophos. 2011-03-26 [2011-03-26]. (原始内容存档于2020-10-31).
- ^ Pettersen, Yngve Nysæter. Introducing Extended Validation Certificates. Opera Software. 2006-11-09 [2010-01-08]. (原始内容存档于2010-02-10).
- ^ Pettersen, Yngve Nysæter. Rootstore newsletter. Opera Software. 2008-07-03 [2010-01-08]. (原始内容存档于2008-11-18).
- ^ Langley, Adam. Revocation checking and Chrome's CRL. 2012-02-05 [2015-01-30]. (原始内容存档于2012-02-12).
- ^ "Chrome does certificate revocation better" (页面存档备份,存于互联网档案馆), April 21, 2014, Larry Seltzer, ZDNet
- ^ xipki/xipki · GitHub. Github.com. [2016-01-24]. (原始内容存档于2017-08-31).
外部链接
- 开放目录项目中的“Public Key Infrastructure: Operational Protocols”
- [rfc:2560 RFC 2560, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP]
- [rfc:4806 RFC 4806, Online Certificate Status Protocol (OCSP) Extensions to IKEv2]
- [rfc:6960 RFC 6960, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP]
- Processor.com April, 2009 article about Online Certificate Status Protocol
- Online Certificate Status Checking(页面存档备份,存于互联网档案馆)
- CertificateRevocationCheck, Check the OCSP status for a certificate(页面存档备份,存于互联网档案馆)