基本介紹
動機,發展,標準,部署,局限性,
動機
OCSP裝訂解決了線上證書協定中的大多數問題。CA給網站頒發證書之後,網站的每個訪問者都會進行OCSP查詢。因此使用線上證書協定時,高並發的請求會給CA的伺服器帶來很大的壓力。同時由於必須和CA建立連線,OCSP查詢還會影響瀏覽器打開頁面的速度並泄漏用戶隱私。此外,當OCSP查詢無法得到回響時,瀏覽器必須選擇是否在無法確認證書狀態的情況下繼續連線,造成安全性和可用性二選一的困局。
發展
對OCSP裝訂的支持正在逐步落實。OpenSSL在Mozilla基金會的協助下發布了支持OCSP裝訂的0.9.8g版本。
伺服器端的支持情況:
軟體名 | 版本 |
---|---|
2.3.3 | |
1.3.7 | |
1.5.0 | |
LiteSpeed Web Server | 4.2.4 |
F5 Networks BIG-IP | 11.6.0 |
瀏覽器的支持情況:
SMTP方面,Exim在客戶端和伺服器端都支持OCSP裝訂。
標準
RFC 6066第8章中規定了TLS證書狀態查詢擴展的標準。
RFC 6961定義了多證書狀態查詢擴展,允許TLS握手中傳送多個證書的OCSP回響。
部署
OCSP裝訂支持正在逐步實施。該OpenSSL的項目列入其0.9.8g發布從贈款的援助支持Mozilla基金會。
Apache HTTP伺服器支持OCSP裝訂自2.3.3版本,的nginx的,因為1.3.7版本的Web伺服器,的Litespeed Web伺服器自版本4.2.4,微軟的IIS,因為Windows Server 2008中,HAProxy從版本1.5.0開始,自11.6.0版本開始的F5 NetworksBIG-IP以及從版本7.2.37.1開始的KEMP LoadMasters。
在瀏覽器端,OCSP裝訂在開始實施的Firefox26,在Internet Explorer中,因為Windows Vista中,和谷歌Chrome在Linux中,Chrome作業系統和Windows Vista的以來。
對於SMTP,Exim郵件傳輸代理支持客戶端和伺服器模式下的OCSP裝訂。
局限性
OCSP裝訂可以降低OCSP驗證的成本,特別針對有很多用戶的大型網站。但是OCSP裝訂在同一時間只能傳送一個OCSP回響,對有中級證書的證書鏈來說並不足夠。RFC 6961中提出的多證書狀態查詢擴展解決了這個問題,允許同時傳送多個OCSP回響。