OCSP裝訂是什么

1. OCSP裝訂概念

OCSP（英語：OCSP Stapling）正式名稱為TLS證書狀態(tài)查詢擴(kuò)展，可代替在線證書狀態(tài)協(xié)議（OCSP）來查詢X.509證書的狀態(tài)。服務(wù)器在TLS握手時發(fā)送事先緩存的OCSP響應(yīng)，用戶只需驗(yàn)證該響應(yīng)的有效性而不用再向數(shù)字證書認(rèn)證機(jī)構(gòu)（CA）發(fā)送請求。

2. 動機(jī)

OCSP裝訂解決了在線證書協(xié)議中的大多數(shù)問題。CA給網(wǎng)站頒發(fā)證書之后，網(wǎng)站的每個訪問者都會進(jìn)行OCSP查詢。因此使用在線證書協(xié)議時，高并發(fā)的請求會給CA的服務(wù)器帶來很大的壓力。同時由于必須和CA建立連接，OCSP查詢還會影響瀏覽器打開頁面的速度并泄漏用戶隱私。此外，當(dāng)OCSP查詢無法得到響應(yīng)時，瀏覽器必須選擇是否在無法確認(rèn)證書狀態(tài)的情況下繼續(xù)連接，造成安全性和可用性二選一的困局。

3.發(fā)展

對OCSP裝訂的支持正在逐步落實(shí)。OpenSSL在Mozilla基金會的協(xié)助下發(fā)布了支持OCSP裝訂的0.9.8g版本。

服務(wù)器端的支持情況：

瀏覽器的支持情況：

SMTP方面，Exim在客戶端和服務(wù)器端都支持OCSP裝訂。 

4.標(biāo)準(zhǔn)

RFC 6066第8章中規(guī)定了TLS證書狀態(tài)查詢擴(kuò)展的標(biāo)準(zhǔn)。

RFC 6961定義了多證書狀態(tài)查詢擴(kuò)展，允許TLS握手中發(fā)送多個證書的OCSP響應(yīng)。 

5.部署

OCSP裝訂支持正在逐步實(shí)施。該OpenSSL的項(xiàng)目列入其0.9.8g發(fā)布從贈款的援助支持Mozilla基金會。

Apache HTTP服務(wù)器支持OCSP裝訂自2.3.3版本，的nginx的，因?yàn)?.3.7版本的Web服務(wù)器，的Litespeed Web服務(wù)器自版本4.2.4，微軟的IIS，因?yàn)閃indows Server 2008中，HAProxy從版本1.5.0開始，自11.6.0版本開始的F5 NetworksBIG-IP以及從版本7.2.37.1開始的KEMP LoadMasters。

在瀏覽器端，OCSP裝訂在開始實(shí)施的Firefox26，在Internet Explorer中，因?yàn)閃indows Vista中，和谷歌Chrome在Linux中，Chrome操作系統(tǒng)和Windows Vista的以來。

對于SMTP，Exim郵件傳輸代理支持客戶端和服務(wù)器模式下的OCSP裝訂。

6.局限性

OCSP裝訂可以降低OCSP驗(yàn)證的成本，特別針對有很多用戶的大型網(wǎng)站。但是OCSP裝訂在同一時間只能發(fā)送一個OCSP響應(yīng)，對有中級證書的證書鏈來說并不足夠。RFC 6961中提出的多證書狀態(tài)查詢擴(kuò)展解決了這個問題，允許同時發(fā)送多個OCSP響應(yīng)。

7. 意義

在服務(wù)器上部署ocsp裝訂，能大大緩解鏈接數(shù)與高并發(fā)量。省去多次握手操作，使網(wǎng)站訪問速度更快。