OCSP - протокол проверки статуса SSL сертификата

OCSP (сокращенно от полного названия Online Certificate Status Protocol) представляет из себя Интернет протокол для проверки статуса SSL-сертификата, который работает быстрее и надежнее, чем это осуществлялось ранее с помощью списков САС (или CRL списков) с отозванными SSL сертификатами. Вкратце протокол OCSP работает следующим образом: конечный пользователь посылает запрос серверу для получения информации о SSL-сертификате. В ответ он получает OCSP ответ, один из следующих вариантов:
  • good – SSL сертификат не отозван и не заблокирован,
  • revoked – SSL сертификат отозван,
  • unknown – не удалось установить статус SSL сертификата, так как серверу не известен издатель.
Эти OCSP ответы позволяют пользователям узнать статус SSL сертификата и подтвердить (или поставить под сомнение) безопасность того или иного веб-сервиса. Протокол OCSP стремительно ускорил процесс получения информации о SSL сертификатах и таким образом стал предпочтительным инструментом проверки статуса SSL сертификата для пользователя в режиме реального времени.

Как проверялся статус сертификатов до OCSP?

Ранее для проверки статуса SSL сертификатов использовались САС списки (также распространено название CRL списки, сокращенно от Certificate Revocation Lists). САС представляет собой список с SSL сертификатами, которые по каким-либо причинам были отозваны. Такой причиной, к примеру, может стать потеря или компрометация приватного ключа, привязанного к сертификату, или взлом сайта. CRL списки очень информативны и содержат все серийные номера SSL сертификатов, которые были отозваны, тем самым являясь очень ресурсоемкими, а следовательно и более медленными, чем протокол OCSP. Списки САС должны постоянно обновляться со стороны центров сертификации, что требует достаточно много времени и усилий. К тому же процесс проверки сертификата по CRL спискам часто выдает неверный результат, так как информация в списках САС может быть устаревшей на момент запроса.

Как работает протокол OCSP?

Оптимальное решение на смену CRL протоколу - это протокол OCSP, позволяющий запрашивать статус сертификата стандарта X-509 на специальных серверах центров сертификации в режиме реального времени. Стандарт X-509 - это интернациональный стандарт для инфраструктуры общественного ключа, представляющий собой криптографическую систему, в которой выдаются, распределяются и проверяются сертификаты. Структура X-509 содержит такие данные о сертификате, как версия, серийный номер, алгоритмы и значение подписи, имя (название) владельца и издателя, срок действия сертификата, публичный ключ, подпись. Протокол отправляет в режиме настоящего времени запрос на OCSPсервер, который обычно принадлежит издателю SSL сертификата, и получает OCSP ответ, как описано в начале текста. Если сервер не может обработать запрос, он возвращает ошибку. Ответы OCSP, как правило, имеют цифровую подпись и могут быть проверены пользователем на подлинность. Цифровая подпись OCSP ответа должна осуществляться тем же ключом, что и подпись самого SSL сертификата. Протокол OCSP позволяет проверять большое количество SSL сертификатов, получая список ответов от сервера. Условием подтверждения актуального статуса сертификата является необходимость работы сервера по актуальной базе данных сертификационных центров. Большинство программ, например, Windows Vista и выше, все версии Mozilla Firefox, Adobe, Opera начиная с версии 8.0, Lotus и т.д. поддерживают протокол OCSP. Однако некоторые более старые браузеры, которые поддерживают только CRL. Кроме того, браузер Chrome отменил проверку статуса SSL по OCSP.

Различия между CRL и OCSP

Свойства списков САС:

  • Список серийных номеров сертификатов, которые были отозваны
  • Необходимо обновление вручную каждых 5-14 дней
  • Проверка только сертификатов с EV (не работает для DV и OV)
  • Если список САС недоступен, сертификат по умолчанию считается доверенным

Свойства протокола OCSP:

  • Проверка SSL сертификата в индивидуальном порядке
  • Требуется меньше информации, ниже нагрузка на сеть
  • Осуществляется на серверах, принадлежащих издателям сертификатов
  • Имеются некоторые уязвимости личных данных

Что делают сертификационные центры?

Каждый из центров сертификации, как правило, владеет собственным сервером для проверки статусов SSL сертификатов, где одним из важнейших требований является время обработки запроса сервером. Издатели вкладывают огромную работу в оптимизацию и ускорение данных запросов, чтобы ни в чем не уступать своим конкурентам. Различные исследования показали, что замедления в обработке запросов могут привести к значительным коммерческим потерям. Одними из самых быстрых на сегодня являются сервера центра сертификации Comodo, за ним следует GeoTrust, Thawte и Symantec.

Возврат к списку

5 шагов к безопасному сайту с SSL
Заказать SSL сертификат
Создать CSR запрос
Пройти валидацию
Получить SSL сертификат
Установить SSL сертификат
EV SSL Certificate