网络安全
OCSP(在线证书状态协议)
别称: 在线证书状态协议, OCSP 装订
定义
一种基于 HTTP 的协议,允许客户端实时向 CA 的响应器查询特定 X.509 证书的状态(有效、已吊销或未知)。
OCSP 在 RFC 6960 中定义,用实时查询取代体积庞大、更新缓慢的 CRL。客户端向证书 Authority Information Access 扩展中指定的 OCSP 响应器发送签名请求,其中包含证书序列号。响应器返回签名的状态(good、revoked、unknown),依赖方在校验响应器签名后采纳结果。OCSP 装订让 TLS 服务器自行获取并缓存响应,然后在握手过程中提供,既保护用户隐私也减少性能开销。配合 must-staple 标记,OCSP 可以让 TLS 中的吊销检测真正可靠地生效。
示例
- 浏览器向 OCSP 响应器查询某网银站点证书的状态。
- 启用 OCSP 装订的 HTTPS 服务器在每次 TLS 握手中提供最新的签名状态。
相关术语
证书吊销列表(CRL)
由 CA 定期签发的吊销证书清单,列出在自然到期之前已被作废的证书,供依赖方判断证书是否仍可信。
X.509 证书
数字证书的标准结构,通过受信任 CA 的签名将公钥与某一身份绑定在一起。
证书颁发机构(CA)
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
HTTPS
HTTPS — definition coming soon.