目录:
定义-在线证书状态协议装订(OCSP装订)是什么意思?
在线证书状态协议装订(OCSP装订;正式的TLS证书状态请求扩展)是对标准OCSP协议的增强,它使最终用户(例如Web服务器管理员,应用程序开发人员和浏览器开发人员)可以检查数字证书或公钥证书,可以作为OCSP的替代状态。
装订从提供证书的服务器传递OCSP响应,并消除了最终方或用户通过发证的证书颁发机构(CA)检查响应的需求。 通过使用OCSP装订,数字证书的持有者可以承担提供OCSP响应方面的资源成本方面的责任,以代替CA的发行。
Techopedia解释了在线证书状态协议装订(OCSP装订)
TLS客户端(浏览器)创建SSL连接时,首先会检查服务器具有的数字证书的合法性。 CA通过使用浏览器查询的OCSP服务器来管理此检查过程。 该过程仅提供可接受的安全级别; 但是,仍然存在某些问题,例如必须启用与CA的一种通信形式,这取决于组织结构并不总是可能的。 因此,为了防止这种情况发生,OCSP装订使TLS服务器可以充当中介,并在连接期间提供OCSP确认其有效性。
在OCSP装订中,证书的持有者会定期与OCSP服务器进行验证,并在每次查询时获得签名的带时间戳的OCSP响应。 因此,当浏览器连接到站点时,它包括带有握手消息的证书状态请求扩展,然后将OCSP响应装订或包含在服务器的TLS / SSL响应中。 装订OCSP响应可调整从CA发出OCSP响应的资源成本,而不是在每次客户要以预定的时间间隔确定其证书的吊销状态时将每个客户端连接到OCSP响应器。
