论文小记 | 什么是OCSP协议

最新推荐文章于 2024-05-02 23:03:08 发布
最新推荐文章于 2024-05-02 23:03:08 发布
阅读量3.1k 收藏 4
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sunny_Ducky/article/details/104293799
版权

什么是OCSP协议

1. 简介

OCSP协议是CRL的替代品,用来检查证书撤销状态的网际协议。
证书吊销列表CRL是一个维护已撤销证书的列表,由浏览器定期下载下来,检查客户端访问的网站证书是否被撤销,但随着证书越来越多,这种方法性能越来越差,因此有了OCSP协议。

2. 与CRL比较 1

作为CRL的替代品,OCSP协议的优势有哪些呢?

  • OCSP可以提供有关证书吊销状态的更及时的信息。
  • OCSP不需要客户端自己检索CRL(更好的带宽管理)。
  • OCSP允许证书过期的用户有宽限期(减少证书过期的停机时间)。

3. 使用方法

在这里插入图片描述
图片来源

  1. 客户端握手时请求服务器端证书
  2. 服务器端向客户提供服务器证书
  3. 客户端向OCSP Responder请求证书状态
  4. OCSP Responder相应客户端对状态的请求。

关于以上步骤的Q&A
Q1: 响应的内容都有哪些?
A1: 正常(Good)、已撤销(Revoked)、未知(Unknown)。如果有无法处理的请求,则会返回一个错误码。
Q1: 什么是OCSP Responder?
A1: 此消息类型分为“请求消息”和“响应消息”,因此致OCSP服务器被称为“OCSP响应端”。2 是一个由数字证书认证机构运行的OCSP服务器。

4.OCSP装订

想象一下,当客户端访问网站时,同时发送OCSP请求给OCSP响应端,并在得到请求结果前阻塞与网站的交流是一件很影响性能的事情。因此OCSP Stampling出现了。
OCSP Stapling(OCSP 封套),是指服务端在证书链中包含颁发机构对证书的 OCSP 查询结果,从而让浏览器跳过自己去验证的过程。服务端有更快的网络,获取 OCSP 响应更容易,也可以将 OCSP 响应缓存起来。3
这里要注意,服务器端的OCSP是使用自己的私钥签名的,因此无法伪造。

5.OCSP的缺陷

可能会被重放攻击,即使该网站证书已经被撤销,但中间人保存下来过去的OCSP响应发送给客户端。

6.与SCT的关系

OCSP支持附加扩展以便对PKI解决方案进行定制,如在响应中包含SCT信息来验证相关证书是否通过了公开审计2更多阅读

  1. What is Online Certificate Status Protocol (OCSP)? ↩︎

  2. OSCP_wiki ↩︎ ↩︎

  3. OCSP Stapling ↩︎

丫丫二_97
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OCSP协议抓包分析
qq_36319965的博客
10-07 829
通过代码实现OCSP功能,然后抓包进行OCSP协议分析
密码学系列之:在线证书状态协议OCSP详解
程序那些事
07-06 2633
我们在进行网页访问的时候会跟各种各样的证书打交道,比如在访问https网页的时候,需要检测https网站的证书有效性。OCSP就是一种校验协议,用于获取X.509数字证书的撤销状态。它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。我们知道在PKI架构中,CA证书是非常重要的组件,客户端通过CA证书来验证服务的可靠性。对于CA证书本身来说在创建的时候是可以指定过期时间的。这样证书在过期之后就不可以使用,需要申请新的证书。但是只给证书指定过期时间是不够的,比如我们因为业务的需求,需要撤销证书怎
深入探索 Android 网络优化(二、网络优化基础篇)上
最新发布
2401_84520182的博客
05-02 805
然后,客户端将这个会话记录单保存起来,在后续会话的 ClientHello 消息中,可以将其包含在 SessionTicket 扩展中。这样,所有会话数据只保存在客户端,而由于 数据被加密过,且密钥只有服务器知道,因此仍然是安全的。会话标识符和会话记录单机制,即“会话缓存”或“无状态恢复”机制。其优点。
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 3037
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
Online Certificate Status Protocol (OCSP协议概述
热门推荐
吃喝玩乐我最擅长
05-22 1万+
在线证书状态协议OCSP)简介
OCSP是什么
nzyzy的博客
03-15 6536
OCSP的定义 OCSP(Online Certificate Status Protocol)即在线证书状态协议,是一个互联网协议,用于获取符合X.509标准的数字证书的状态。OCSP是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP协议的产生是用于在公钥基础设施(PKI)体系中替代证书吊销列表(CRL)来查询数字证书的状态,当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。 OCSP与CRL比较: 1)与CRL相比OC
OCSP检查数字证书状态详解
N阶二进制的博客
12-09 2207
OCSP(Online Certificate Status Protocol)是一种用于检查数字证书状态的协议。它提供了一种实时查询证书状态的方式,以确定证书是否被吊销。
在线证书状态协议-OCSP
11-26
在线证书状态协议(Online Certificate Status Protocol,简称OCSP)是一种基于Internet的协议,用于查询数字证书的状态。在网络安全中,特别是在公钥基础设施(PKI)中,OCSP扮演着至关重要的角色,它允许验证者...
v3_ocsp.rar_ocsp
09-24
OCSP(Online Certificate Status Protocol,在线证书状态协议)是互联网上用于实时验证数字证书状态的一种协议。它由IETF在RFC 6960中定义,作为PKI(Public Key Infrastructure,公钥基础设施)中证书撤销检查的...
Php Ocsp:php在线证书状态协议-开源
05-13
在线证书状态协议(Online Certificate Status Protocol,简称OCSP)是一种互联网标准,用于实时验证数字证书的有效性。它由IETF在RFC 2560文档中定义,旨在解决传统的证书撤销列表(CRL)机制的效率问题。在CRL中,...
Python库 | ocsp-checker-1.8.2.tar.gz
05-20
资源分类:Python库 所属语言:Python 资源全名:ocsp-checker-1.8.2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
生成OCSP请求和响应的jar包
11-29
开源的生成OCSP请求和响应的jar包,很好用,可以试一下
ocsp.rar_java web ocsp_ocsp
09-20
Examples showing the use of Certificate Revocation Lists (CRLs) and Online Certificate Status Protocol (OCSP).
ocsp协议_什么是在线证书状态协议OCSP)和示例教程?
cunjiu9486的博客
10-06 4787
ocsp协议Certificates like SSL, X.509 are used to secure network traffic. But every certificate has its own life cycle in a distributed environmentlike the internet we should manage them. Online Certifi...
证书的有效性管理和验证—CRL及OCSP的异曲同工之妙
云守护的专栏
04-29 2387
转自https://www.cfca.com.cn/20150811/101230759.html https://www.secpulse.com/archives/113075.html   怎样验证数字证书    数字证书号称是网上的身份证。网上交易者通过交易对象的数字证书对其产生信任,并能够使用和证书绑定的公钥和交易对象通信,这是PKI认证机制的基本宗旨。但是,当网上交易者从交易对象那里直接获取,或通过访问CA证书库等不同途径得到了交易对象的数字证书以后,这张证书不经过验证是不能放心使用的。验
CRL问题与OCSP
大力海棠的博客
02-17 5099
从证书的扩展项CRL分发点可以看到,CRL证书吊销列表,是服务器身份验证的一部分,验证证书除了校验签名值外,还要校验证书的吊销状态,如果一张证书已过期,或者被吊销,那么身份校验失败。要注意的是,证书过期并不代表其被吊销,证书过期了便无效,如果证书没有过期,但因为某种原因被吊销了,也一样无效。我们知道,浏览器校验证书吊销状态时,会通过CRL分发点找到CRLs文件的URL,然后去下载CRLs文件,从中...
OCSP在线证书状态协议内容描述
爱java的小蓝的博客
12-14 6483
Https优化方案(优化证书验证篇--OCSP
supertor的博客
12-06 1万+
一句话概括就是:OCSP 是server 把自己的站点证书和中间证书以及根证书打包一起下发到客户端,省去客户端查询的过程。 OCSP实时查询会增加客户端的性能开销。因此,可以考虑通过OCSP stapling的方案来解决:OCSP stapling是一种允许在TLS握手中包含吊销信息的协议功能,启用OCSP stapling后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握手过程...
OCSP 在SSL证书中起什么作用
SSL加密技术
12-21 1044
SSL证书是数字证书的一种,形式上是一组密钥。在服务器上安装了SSL证书后,服务器与终端之间的数据都是通过此密钥进行加密后传输的,防止数据在传输的过程中被窃取、篡改。安装的SSL证书是有一定的生命周期的,并不是可以无限期的使用下去。一种是SSL证书自然过期后,将无法使用,需要再找CA机构签发新的证书;另一种是,因为某些特殊原因在SSL证书过期前,被 CA 机构吊销。但如何判断SSL证书是否在有效期内或是否被吊销呢?这时候 OCSP 就起到了至关重要的作用。 OCSP(Online Certificate
OCSP协议Wireshark抓包
11-17
OCSP协议是一种在线证书状态协议,用于检查数字证书是否被吊销。Wireshark是一款网络协议分析工具,可以用于抓取和分析网络数据包。下面是使用Wireshark抓取OCSP协议数据包的步骤: 1. 打开Wireshark软件,选择需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值