OCSP(Online Certificate Status Protocol,在线证书状态协议)
目录
-
-
- 一、OCSP的核心作用
- 二、OCSP的工作流程
- 三、OCSP请求与响应的格式
-
- 1. OCSP请求(OCSP Request)
- 2. OCSP响应(OCSP Response)
- 四、OCSP的优势与局限性
-
- 优势:
- 局限性:
- 五、OCSP Stapling(OCSP装订):优化与改进
- 六、OCSP的典型应用场景
- 总结
-
OCSP(Online Certificate Status Protocol,在线证书状态协议) 是一种用于实时查询数字证书状态(如是否有效、是否被吊销)的网络协议,由IETF在RFC 6960中标准化,主要用于替代传统的证书吊销列表(CRL),解决CRL更新延迟、体积大、查询效率低等问题。
一、OCSP的核心作用
在HTTPS、数字签名等依赖公钥证书的场景中,证书可能因密钥泄露、过期、颁发错误等原因被提前吊销。OCSP的核心功能是:
- 允许客户端(如浏览器、应用程序)向OCSP服务器(通常由证书颁发机构CA维护)查询某个证书的当前状态;
- 实时返回证书状态(“有效”“已吊销”“未知”),确保通信双方使用的证书未被吊销,避免安全风险。
二、OCSP的工作流程
OCSP的交互过程涉及客户端(验证证书的一方)、OCSP服务器(提供证书状态查询服务)和证书颁发机构(CA)(颁发证书并维护吊销信息),具体流程如下:
-
客户端获取待验证证书
客户端在建立安全连接时(如浏览器访问HTTPS网站),收到服务器发送的数字证书(包含证书序列号、颁发者CA信息等)。 -
客户端生成OCSP请求
客