OCSP裝訂(英語:OCSP Stapling),正式名稱為TLS證書狀態查詢擴展,可代替在線證書狀態協議(OCSP)來查詢X.509證書的狀態。[1]服務器在TLS握手時發送事先緩存的OCSP響應,用戶只需驗證該響應的有效性而不用再向數字證書認證機構(CA)發送請求。[2][3]

動機

OCSP裝訂解決了在線證書協議中的大多數問題。[3]CA給網站頒發證書之後,網站的每個訪問者都會進行OCSP查詢。因此使用在線證書協議時,高並發的請求會給CA的服務器帶來很大的壓力。[4]同時由於必須和CA建立連接,OCSP查詢還會影響瀏覽器打開頁面的速度並泄漏用戶隱私。[4]此外,當OCSP查詢無法得到響應時,瀏覽器必須選擇是否在無法確認證書狀態的情況下繼續連接,造成安全性和可用性二選一的困局。[5]

標準

RFC 6066 第8章中規定了TLS證書狀態查詢擴展的標準。

RFC 6961 定義了多證書狀態查詢擴展,允許TLS握手中發送多個證書的OCSP響應。

發展

對OCSP裝訂的支持正在逐步落實。OpenSSLMozilla基金會的協助下發布了支持OCSP裝訂的0.9.8g版本。

服務器端的支持情況:

More information 軟件名, 版本 ...
軟件名 版本
Httpd 2.3.3[6]
Nginx 1.3.7[7]
IIS Windows Server 2008[8]
HAProxy 1.5.0[9]
LiteSpeed Web Server 4.2.4[10]
F5 Networks BIG-IP 11.6.0[11]
Close

瀏覽器的支持情況:

More information 軟件名, 版本 ...
軟件名 版本
Firefox 26[12]
IE Vista及以上的Windows。[13]
Chrome Linux、Chrome OS、Vista及以上的Windows[14]
Close

SMTP方面,Exim在客戶端[15]和服務器端[16]都支持OCSP裝訂。

局限性

OCSP裝訂可以降低OCSP驗證的成本,特別針對有很多用戶的大型網站。但是OCSP裝訂在同一時間只能發送一個OCSP響應,對有中級證書的證書鏈來說並不足夠。[17][18]RFC 6961中提出的多證書狀態查詢擴展解決了這個問題,允許同時發送多個OCSP響應。[19]

參考資料

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.