OCSP (Online Certificate Status Protocol)
Что такое OCSP (Online Certificate Status Protocol)?
OCSP (Online Certificate Status Protocol)Протокол поверх HTTP, позволяющий клиенту в реальном времени запросить у респондера УЦ статус конкретного сертификата X.509: действителен, отозван или неизвестен.
OCSP, описанный в RFC 6960, заменяет крупные и медленно обновляемые CRL запросами в режиме реального времени. Клиент отправляет подписанный запрос с серийным номером сертификата на URL OCSP-респондера, указанный в расширении Authority Information Access. Респондер возвращает подписанный статус (good, revoked, unknown), и проверяющая сторона принимает результат после проверки подписи. OCSP stapling позволяет TLS-серверу самому получать и кэшировать ответ и предъявлять его в ходе рукопожатия, устраняя проблемы приватности и производительности на стороне клиентов. В сочетании с must-staple OCSP делает проверку отзыва в TLS действительно обязательной.
● Примеры
- 01
Браузер отправляет OCSP-запрос для проверки сертификата сайта онлайн-банка.
- 02
HTTPS-сервер с включённым OCSP stapling выдаёт свежий подписанный статус в каждом TLS-рукопожатии.
● Частые вопросы
Что такое OCSP (Online Certificate Status Protocol)?
Протокол поверх HTTP, позволяющий клиенту в реальном времени запросить у респондера УЦ статус конкретного сертификата X.509: действителен, отозван или неизвестен. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает OCSP (Online Certificate Status Protocol)?
Протокол поверх HTTP, позволяющий клиенту в реальном времени запросить у респондера УЦ статус конкретного сертификата X.509: действителен, отозван или неизвестен.
Как защититься от OCSP (Online Certificate Status Protocol)?
Защита от OCSP (Online Certificate Status Protocol) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OCSP (Online Certificate Status Protocol)?
Распространённые альтернативные названия: Online Certificate Status Protocol, OCSP stapling.