OCSP检查数字证书状态详解

最新推荐文章于 2024-09-14 14:19:14 发布
最新推荐文章于 2024-09-14 14:19:14 发布
阅读量2.7k 收藏 28
点赞数 22
分类专栏: openssl 文章标签: chrome 证书 OCSP 证书校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ARV000/article/details/134892867
版权
本文介绍了OCSP的基本原理,工作流程,包括客户端请求、服务器查询、响应生成与验证,以及其优势(如实时性和带宽节省)和不足(如隐私泄露和单点故障)。还讨论了OCSPStapling技术以改进性能,并提到了服务器配置要点。
摘要由CSDN通过智能技术生成

文章目录


OCSP(Online Certificate Status Protocol)是一种用于检查数字证书状态的协议。它提供了一种实时查询证书状态的方式,以确定证书是否被吊销。

1. OCSP 的基本原理

OCSP(Online Certificate Status Protocol)是一种用于在线验证数字证书状态的协议,其基本原理如下:

  1. 证书吊销检查需求: 当应用程序(如浏览器、服务器等)收到一个数字证书时,它需要确认该证书是否被吊销,因为吊销的证书不再可信。

  2. 客户端发起 OCSP 请求: 应用程序的客户端向 OCSP 服务器发送 OCSP 请求,这个请求包含了要验证的证书的信息,通常包括证书的序列号。

  3. OCSP 服务器响应: OCSP 服务器收到请求后,查询证书的吊销状态,并返回一个 OCSP 响应。这个响应包含了证书的状态信息,通常有三种状态:吊销、未吊销、或者未知(无法查询)。

  4. 客户端验证: 应用程序的客户端接收到 OCSP 响应后,解析其中的信息&

了解本专栏 订阅专栏 解锁全文 超级会员免费看
N阶二进制
关注
专栏目录
订阅专栏
ocsp查询证书状态
M先生的博客
06-25 211
OCSP服务其实也是用于验证证书是否有效,与之前博客里讲的不同之处在与,通过OCSP服务查询证书状态是实时的,一般证书发布机构将证书吊销后,会发布到Ldap里,这个几乎是实时发布的。所以OSCP服务的证书查询结果是实时的,准确性要比本地验证准确的多。
java ocsp校验_Nginx使用OCSP验证客户端证书
weixin_39747755的博客
02-25 930
此前,Nginx只支持OSCP验证服务器证书。目前,Nginx 1.19.0+已经支持使用OSCP验证客户端证书:https://trac.nginx.org/nginx/ticket/1534有关Nginx双向证书验证的详细配置可以参考笔者的《Nginx双向证书校验(服务器验证客户端证书)》一文。如下配置:server {listen 50443;ssl on;server_name examp...
SSL证书检查吊销状态
weixin_30393907的博客
05-01 1827
虽然证书吊销状态在不断变化,并且用户代理对证书吊销的行为差异很大,但作为服务器,要做的就是尽可能快地传递吊销信息。实际操作中转化为以下这些规则。 使用带OCSP信息的证书OCSP被设计用于提供实时查询,允许用户代理只请求访问网站的吊销信息。因此查询简短而快速(一个HTTP请求)。相比之下CRL是一个包含大量被吊销证书的列表。一些用户代理只有当OCSP信息不可用的时候才下载CRL,这种情况下浏...
OCSP原理及实践
辛勤搬砖的门卫的专栏
09-06 1028
OCSP机制原理及实践验证
ocsp服务器的证书状态如何查询,配置 OCSP 证书状态
weixin_36102930的博客
07-29 461
This Preview product documentation is Citrix Confidential.You agree to hold this documentation confidential pursuant to theterms of your Citrix Beta/Tech Preview Agreement.The development, release and...
在线证书状态协议 (OCSP) 详解及其应用
weixin_37085861的博客
08-15 723
一、什么是OCSP?在线证书状态协议(Online Certificate Status Protocol,OCSP)是一种验证X.509数字证书状态的方法。它通过向OCSP服务器(通常是证书颁发机构(CA)提供的)发送请求来检查证书是否被吊销,相较于传统的证书吊销列表(CRL)方式,OCSP更为高效。二、OCSP的工作原...
密码学系列之:在线证书状态协议OCSP详解
程序那些事
07-06 2877
我们在进行网页访问的时候会跟各种各样的证书打交道,比如在访问https网页的时候,需要检测https网站的证书有效性。OCSP就是一种校验协议,用于获取X.509数字证书的撤销状态。它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。我们知道在PKI架构中,CA证书是非常重要的组件,客户端通过CA证书来验证服务的可靠性。对于CA证书本身来说在创建的时候是可以指定过期时间的。这样证书在过期之后就不可以使用,需要申请新的证书。但是只给证书指定过期时间是不够的,比如我们因为业务的需求,需要撤销证书
Php Ocsp:php在线证书状态协议-开源
05-13
在线证书状态协议(Online Certificate Status Protocol,简称OCSP)是一种互联网标准,用于实时验证数字证书的有效性。它由IETF在RFC 2560文档中定义,旨在解决传统的证书撤销列表(CRL)机制的效率问题。在CRL中,...
X.509数字证书标准详解与应用
证书吊销通常通过CRL(Certificate Revocation List)或OCSP(Online Certificate Status Protocol)来实现,前者是定期发布的证书撤销列表,后者则是实时查询证书状态的协议。 在中国,已经建立了多个CA机构,如...
数字证书流程
04-10
### 数字证书流程详解 #### 一、数字证书的核心价值 数字证书,作为一种电子文档,其核心作用在于保障网络通信中的信息安全与信任。通过一系列的加密技术和验证机制,数字证书能够确保信息传输过程中的机密性、...
证书学习(四)X.509数字证书整理
ACGkaka的博客
09-09 1143
证书学习(四)X.509数字证书整理
Nginx 启用 OCSP Stapling的配置
01-10
这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。 在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP 用于检验证书合法性,查询服务一般由证书所属 CA 提供。OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。 而这时,OCSP Stapling 出现了。经由 OCSP Stapling(OC
OCSP证书的有效性管理和验证
最新发布
2301_76563067的博客
09-14 829
CRL的数据形成后,要把它公布在网上,然而,CRL的数据集中存放在CA的服务器中可能带来另一个问题,就是当用户数量庞大,而且到了交易集中发生的高峰时期时,对服务器的并发访问可能造成网络和服务器的拥塞,致使交易效率急剧下降甚至超时。OCSP在线查询机制只能检测证书的注销状态,没有其他功能,例如不能检查证书的有效期,也不返回用户一个完全的证书证书有效期的设定是出于安全的考虑,当一张证书有效期将结束时,如果想继续使用就需要更新,证书更新时将产生新的公私密钥对,密钥定期更新对于证书的安全性是有好处的。
OCSP 测试服务器
wuwenlong527的专栏
10-16 4638
 需要寻找一个OCSP测试服务器,今天找到一个,以下为简介:想请参照:http://www.openvalidation.org/useocspservicenew.htmHow to test client applications with OpenValidation.orgDevelopers can use the OpenValidation.org Responder Ser
页面加载被延迟 Firefox将禁用对DV和OV证书OCSP检查
weixin_33910137的博客
06-02 286
2019独角兽企业重金招聘Python工程师标准>>> ...
ocsp服务器的证书状态如何查询,站点ocsp stapling检查检查https 站点ocsp stapling配置、检查站点证书吊销状态信息...
weixin_30236323的博客
07-29 888
https://www.bing.com检测结果ocsp stapling:支持原始信息OCSP Response Status: successful (0x0)Response Type: Basic OCSP ResponseVersion: 1 (0x0)Responder Id: 108A72F9F95647F20B2CDBD20458484E0B24DCF3Produced At: O...
中国OCSP服务器SSL证书
统诚至信提供一站式SSL/https证书、SSL/https检测解决方案,包括SSL域名证书、代码签名证书、邮件签名证书、文档签名证书、国密证书、IP证书;支持DV、OV、EV、多域名、通配符证书类型,Digicert、Geotrust、Symantec、
07-05 498
服务器在线证书状态协议(OCSP)使应用程序可以确定已标识证书的(吊销)状态。通常 CA 会将证书OCSP服务器部署在在境外。国内应用或网站因在验证时耗时过长导致页面加载比较慢。国内拥有OCSP节点的证书能够完美的解决这一问题!普遍的SSL证书读是海外OCSP,性能太卡,会导致网站打开卡3~8秒,APP启动3~5秒大陆OCSP在性能上具有明显的优势,能让APP启动、网站打开缩短到3~40毫秒。符合三项SSL证书内的仅有2个品牌支持中国OCSP,GlobalSign和Digicert,我们可以看出Global
Request for Comments: 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
Welcome to Vick's home!
12-26 1567
Network Working Group M. MyersRequest for Comments: 2560 VeriSignCategory: Standards Track
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

N阶二进制

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值