OCSP是什么

OCSP（Online Certificate Status Protocol），中文翻譯是在線證書狀態(tài)協(xié)議，是維護(hù)服務(wù)器和其它網(wǎng)絡(luò)資源安全性的兩種普遍模式之一。另一種更老的方法是證書注銷列表（CRL）已經(jīng)被在線證書狀態(tài)協(xié)議取代了很多年了。OCSP克服了證書注銷列表（CRL）的主要缺陷：必須經(jīng)常在客戶端下載以確保列表的更新。

CRL協(xié)議，這個協(xié)議的思路是客戶端通過定期的去CA那里請求一個被吊銷的證書列表，作為本地緩存，從而之后對服務(wù)器證書的驗(yàn)證就可以依賴這個緩存。但是這個方案需要客戶端去管理一個本地緩存，這相當(dāng)于把所有的責(zé)任都扔給了客戶端?？蛻舳嗽L問CA的服務(wù)器的帶寬和穩(wěn)定性都存在疑問，所以這種方案是注定要輸給服務(wù)端的解決方案的。

OCSP是TLS協(xié)議的擴(kuò)展協(xié)議，在TLS的使用中，客戶端無法判斷一個還沒有過期的證書是否被吊銷了。因?yàn)镃A在頒發(fā)了證書之后大部分情況下都是等待這個證書過期了之后的自然失效，而如果CA出于某些原因要人為的吊銷某個證書就沒有了辦法。這個時候客戶端在從服務(wù)端拿到了一個證書之后，去找服務(wù)端的接口去驗(yàn)證一下這個證書的是否過期這一信息。

當(dāng)用戶試圖訪問一個服務(wù)器時，OCSP（在線證書狀態(tài)協(xié)議）發(fā)送一個對于證書狀態(tài)信息的請求。服務(wù)器回復(fù)一個“有效”、“過期”或“未知”的響應(yīng)。協(xié)議規(guī)定了服務(wù)器和客戶端應(yīng)用程序的通訊語法。在線證書狀態(tài)協(xié)議給了用戶的到期的證書一個寬限期，這樣他們就可以在更新以前的一段時間內(nèi)繼續(xù)訪問服務(wù)器。

但客戶端由于網(wǎng)絡(luò)有各種各樣的情況，每個連接去驗(yàn)證國外的服務(wù)器的話就會帶來完全不可控的用戶體驗(yàn)和訪問延時，并且對于CA來說也是一個不小的并發(fā)連接。所以O(shè)CSP一般會被應(yīng)用到服務(wù)端，給客戶端節(jié)省這部分的時間。服務(wù)端周期性的去連接CA的OCSP服務(wù)器，驗(yàn)證一個證書的合法性，存儲在本地。當(dāng)客戶端與服務(wù)端進(jìn)行TLS握手的時候，服務(wù)端在傳送了證書鏈之后（certificate消息），會繼續(xù)再傳輸一個certificate status消息，這個status消息就是服務(wù)端從CA的OCSP服務(wù)器那里獲得而來的證書吊銷狀態(tài)信息，雙方仍然是通過密碼學(xué)的方式保證了客戶端可以確認(rèn)這個確認(rèn)消息來源于CA。

OCSP與傳統(tǒng)的CRL比較有以下特點(diǎn)：

? 由于相對于傳統(tǒng)的CRL，一個ocsp響應(yīng)包含的信息更少，故ocsp能夠更有效利用網(wǎng)絡(luò)和客戶資源

? 用OCSP，客戶無需自己解析CRL證書吊銷列表，但是客戶需要存儲狀態(tài)信息，而由于客戶側(cè)需要維護(hù)存儲緩存，故導(dǎo)致存儲信息很復(fù)雜。在實(shí)際使用中，這點(diǎn)帶來的影響卻很小，由于第三庫提供的相關(guān)接口已經(jīng)幫我們完成此類工作

? OCSP通過專用網(wǎng)絡(luò)、專用證書、在特定的時間公開其服務(wù)。OCSP不強(qiáng)制加密，故可能帶來信息泄露的風(fēng)險。

OCSP的調(diào)用流程如下：

1. OCSP服務(wù)器與CA數(shù)據(jù)庫建立數(shù)據(jù)庫連接；

2. 應(yīng)用程序使用OCSP客戶端接口查詢指定證書的狀態(tài)；

3. OCSP客戶端接口封裝OCSP請求；

4. OCSP客戶端接口與OCSP服務(wù)器建立HTTP連接；

5. OCSP客戶端接口通過HTTP連接發(fā)送OCSP請求到OCSP服務(wù)器；

6. OCSP服務(wù)器解析OCSP請求；

7. OCSP服務(wù)器直接查詢CA數(shù)據(jù)庫，獲得最新證書狀態(tài)；

8. OCSP服務(wù)器封裝并簽發(fā)OCSP響應(yīng)；

9. OCSP服務(wù)器通過HTTP連接返回響應(yīng)；

10. OCSP客戶端接口關(guān)閉HTTP連接；

11. OCSP客戶端接口解析OCSP響應(yīng)；

12. OCSP客戶端接口返回證書狀態(tài)給應(yīng)用程序。

那么OCSP現(xiàn)如今就的到了全面的應(yīng)用了嗎？并不是，實(shí)際上Chrome自己搭建服務(wù)器維護(hù)了一套CRL列表，所以Chrome瀏覽器可以不用去CA那里每次去查看一下這個證書是否過期。但是CRL是個逐漸過時的技術(shù)，新的技術(shù)是OCSP，本質(zhì)上OCSP解決的問題與谷歌自己搭建CRL服務(wù)器解決的問題都是一樣的，就是一個在服務(wù)器端異步的去完成對證書有效性的檢查的問題。因?yàn)檫@個證書有效性的檢查是延時非常高的。在網(wǎng)易的服務(wù)器到Let’s Encrty測試的速度還是可控的，但是到亞信的服務(wù)器的延時將達(dá)到十幾秒。這種級別的延時如果讓用戶的客戶端每次都去做的話，客戶端根本沒辦法使用。

所以，到底是業(yè)務(wù)的服務(wù)器來做這件事還是瀏覽器自己搭建服務(wù)器去做這件事本質(zhì)上都是一樣的。按照市場的角度分析，最終很可能一直會保持谷歌的這種CRL服務(wù)器的模式，因?yàn)椴豢赡芤笏械姆?wù)器都提供OCSP的能力，但是客戶端卻一直需要這種驗(yàn)證的結(jié)果的。