OCSP的定义
OCSP(Online Certificate Status Protocol)即在线证书状态协议,是一个互联网协议,用于获取符合X.509标准的数字证书的状态。OCSP是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP协议的产生是用于在公钥基础设施(PKI)体系中替代证书吊销列表(CRL)来查询数字证书的状态,当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。
OCSP与CRL比较:
1)与CRL相比OCSP消息中信息内容更少,这能减少网络的负担和客户端的资源;
2)由于OCSP响应端需要解析的信息更少,客户端提供的用于解析消息的库函数更简单;
3)OCSP向发起响应方公开了一个特定的网络主机在特定时刻所使用的特定证书。由于OCSP并不强制加密该证书,因此信息可能被第三方拦截。
基本PKI应用场景
1、Alice和Bob使用GDCA颁发的数字证书。该场景中GDCA是数字证书认证中心CA机构;
2、Alice向Bob发送其由GDCA颁发的数字证书,并发出请求建立连接的申请;
3、Bob担心Alice的私钥已经泄露,因此向GDCA发送’OCSP request’ 消息并包含Alice的数字证书序列号;
4、GDCA的OCSP响应端从Bob发送的消息中获取数字证书的序列号,并在CA数据库中查找该数字证书的状态;
5、GDCA向Bob发送由其私钥加密的消息’OCSP response’,并包含证书状态正常的信息;
6、由于Bob事先已经安装了GDCA的数字证书,因此Bob使用Ivan的公钥解密消息并获取到Alice的数字证书状态信息;
7、Bob决定与Alice进行通信
