Мальдини, Паоло
- 1 year ago
- 0
- 0
Протокол состояния сетевого сертификата ( Online Certificate Status Protocol - OCSP) - это интернет-протокол, используемый для получения статуса отзыва цифрового сертификата X.509 . Механизм протокола описан в и является одним из стандартов de-facto Интернета. Он был создан в качестве альтернативы спискам отзыва сертификатов (CRL), в частности для решения некоторых проблем, связанных с использованием CRL в инфраструктуре открытых ключей ( PKI ). Cообщения OCSP кодируются в ASN.1 и обычно передаются по HTTP . Диалоги «запрос/ответ» этих сообщений позволяют называть сервера OCSP ответчиками OCSP .
Не все веб-браузеры используют OCSP для проверки сертификатов SSL/TLS протокола HTTPS .
Ответчик OCSP (обычно сервер Центра сертификации) возвращает подписанный ответ со статусом сертификата, указанного в запросе: годный , отозван или статус неизвестен . Если он не может обработать запрос, он может вернуть код ошибки.
Формат запроса OCSP поддерживает дополнительные расширения. Это позволяет выполнить дополнительную настройку для конкретной схемы PKI .
OCSP может быть уязвим для атак повторного воспроизведения - replay-атак, где подписанный, валидный ответ захвачен злонамеренным посредником и воспроизведен клиенту позже после того, как предметный сертификат, возможно, был отозван. OCSP позволяет включить одноразовый код в запрос - nonce , который может быть включен в соответствующий ответ. Из-за высокой нагрузки большинство респондентов OCSP не используют расширение nonce для создания различных ответов для каждого запроса, вместо этого используя предварительно подписанные ответы с периодом действия в несколько дней. Таким образом, повторная атака представляет собой серьезную угрозу для систем валидации.
OCSP может поддерживать более одного уровня CA. Запросы OCSP могут быть связаны между одноранговыми ответчиками для запроса выдающего ЦС, подходящего для сертификата субъекта, с ответчиками, проверяющими ответы друг друга на корневой ЦС, используя свои собственные запросы OCSP.
Ответчик OCSP может запрашивать информацию об отзыве с помощью серверов проверки делегированного пути (DPV). OCSP сама по себе не выполняет DPV поставляемых сертификатов.
Ключ, подписывающий ответ, не обязательно должен быть тем же ключом, который подписал сертификат. Эмитент сертификата может делегировать другой орган, чтобы быть ответчиком OCSP. В данном случае, ответчик сертификата (тот, который используется для подписи ответ) должен выдать эмитенту сертификата в ответ на запрос, определенное расширение, в котором содержится указание на него в качестве подписи сервиса OCSP (точнее, расширенное использование ключа продления с идентификаторами:
OID {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) keyPurpose(3) ocspSigning(9)})
Существует несколько открытых и проприетарных реализаций OCSP, включая полнофункциональные серверы и библиотеки для создания пользовательских приложений. Поддержка клиентов OCSP встроена во многие операционные системы, веб-браузеры и другое сетевое программное обеспечение ввиду растущей популярности HTTPS и WWW .
Проприетарное программное обеспечение:
Существует широкая поддержка OCSP среди большинства основных браузеров:
Все версии Mozilla Firefox поддерживают проверку OCSP. Firefox 3 включает проверку OCSP по умолчанию.
Однако Google Chrome является исключением. Google отключил проверки OCSP по умолчанию в 2012 году, ссылаясь на проблемы с задержкой и конфиденциальностью и вместо этого использует свой собственный механизм обновления для отправки отозванных сертификатов в браузер.