Entry № 846
OCSP(在线证书状态协议)
OCSP(在线证书状态协议) 是什么?
OCSP(在线证书状态协议)一种基于 HTTP 的协议,允许客户端实时向 CA 的响应器查询特定 X.509 证书的状态(有效、已吊销或未知)。
OCSP 在 RFC 6960 中定义,用实时查询取代体积庞大、更新缓慢的 CRL。客户端向证书 Authority Information Access 扩展中指定的 OCSP 响应器发送签名请求,其中包含证书序列号。响应器返回签名的状态(good、revoked、unknown),依赖方在校验响应器签名后采纳结果。OCSP 装订让 TLS 服务器自行获取并缓存响应,然后在握手过程中提供,既保护用户隐私也减少性能开销。配合 must-staple 标记,OCSP 可以让 TLS 中的吊销检测真正可靠地生效。
● 示例
- 01
浏览器向 OCSP 响应器查询某网银站点证书的状态。
- 02
启用 OCSP 装订的 HTTPS 服务器在每次 TLS 握手中提供最新的签名状态。
● 常见问题
OCSP(在线证书状态协议) 是什么?
一种基于 HTTP 的协议,允许客户端实时向 CA 的响应器查询特定 X.509 证书的状态(有效、已吊销或未知)。 它属于网络安全的 网络安全 分类。
OCSP(在线证书状态协议) 是什么意思?
一种基于 HTTP 的协议,允许客户端实时向 CA 的响应器查询特定 X.509 证书的状态(有效、已吊销或未知)。
如何防御 OCSP(在线证书状态协议)?
针对 OCSP(在线证书状态协议) 的防御通常结合技术控制与运营实践,详见上方完整定义。
OCSP(在线证书状态协议) 还有哪些其他名称?
常见的别称包括: 在线证书状态协议, OCSP 装订。