Дата статьи 28.05.2015

OCSP - протокол проверки статуса SSL сертификата

OCSP (сокращенно от полного названия Online Certificate Status Protocol) представляет из себя Интернет протокол для проверки статуса SSL-сертификата, который работает быстрее и надежнее, чем это осуществлялось ранее с помощью списков САС (или CRL списков) с отозванными SSL сертификатами. Вкратце протокол OCSP работает следующим образом: конечный пользователь посылает запрос серверу для получения информации о SSL-сертификате. В ответ он получает OCSP ответ, один из следующих вариантов:
  • good – SSL сертификат не отозван и не заблокирован,
  • revoked – SSL сертификат отозван,
  • unknown – не удалось установить статус SSL сертификата, так как серверу не известен издатель.
Эти OCSP ответы позволяют пользователям узнать статус SSL сертификата и подтвердить (или поставить под сомнение) безопасность того или иного веб-сервиса. Протокол OCSP стремительно ускорил процесс получения информации о SSL сертификатах и таким образом стал предпочтительным инструментом проверки статуса SSL сертификата для пользователя в режиме реального времени.

Как проверялся статус сертификатов до OCSP?

Ранее для проверки статуса SSL сертификатов использовались САС списки (также распространено название CRL списки, сокращенно от Certificate Revocation Lists). САС представляет собой список с SSL сертификатами, которые по каким-либо причинам были отозваны. Такой причиной, к примеру, может стать потеря или компрометация приватного ключа, привязанного к сертификату, или взлом сайта.

CRL списки очень информативны и содержат все серийные номера SSL сертификатов, которые были отозваны, тем самым являясь очень ресурсоемкими, а следовательно и более медленными, чем протокол OCSP. Списки САС должны постоянно обновляться со стороны центров сертификации, что требует достаточно много времени и усилий. К тому же процесс проверки сертификата по CRL спискам часто выдает неверный результат, так как информация в списках САС может быть устаревшей на момент запроса.

Как работает протокол OCSP?

Оптимальное решение на смену CRL протоколу - это протокол OCSP, позволяющий запрашивать статус сертификата стандарта X-509 на специальных серверах центров сертификации в режиме реального времени.

Стандарт X-509 - это интернациональный стандарт для инфраструктуры общественного ключа, представляющий собой криптографическую систему, в которой выдаются, распределяются и проверяются сертификаты. Структура X-509 содержит такие данные о сертификате, как версия, серийный номер, алгоритмы и значение подписи, имя (название) владельца и издателя, срок действия сертификата, публичный ключ, подпись. Протокол отправляет в режиме настоящего времени запрос на OCSP сервер, который обычно принадлежит издателю SSL сертификата, и получает OCSP ответ, как описано в начале текста.

Если сервер не может обработать запрос, он возвращает ошибку. Ответы OCSP, как правило, имеют цифровую подпись и могут быть проверены пользователем на подлинность. Цифровая подпись OCSP ответа должна осуществляться тем же ключом, что и подпись самого SSL сертификата. Протокол OCSP позволяет проверять большое количество SSL сертификатов, получая список ответов от сервера. Условием подтверждения актуального статуса сертификата является необходимость работы сервера по актуальной базе данных сертификационных центров.

Большинство программ, например, Windows Vista и выше, все версии Mozilla Firefox, Adobe, Opera начиная с версии 8.0, Lotus и т.д. поддерживают протокол OCSP. Однако некоторые более старые браузеры, которые поддерживают только CRL. Кроме того, браузер Chrome отменил проверку статуса SSL по OCSP.

Различия между CRL и OCSP

Свойства списков САС:

  • Список серийных номеров сертификатов, которые были отозваны
  • Необходимо обновление вручную каждых 5-14 дней
  • Проверка только сертификатов с EV (не работает для DV и OV)
  • Если список САС недоступен, сертификат по умолчанию считается доверенным

Свойства протокола OCSP:

  • Проверка SSL сертификата в индивидуальном порядке
  • Требуется меньше информации, ниже нагрузка на сеть
  • Осуществляется на серверах, принадлежащих издателям сертификатов
  • Имеются некоторые уязвимости личных данных

Что делают сертификационные центры?

Каждый из центров сертификации, как правило, владеет собственным сервером для проверки статусов SSL сертификатов, где одним из важнейших требований является время обработки запроса сервером. Издатели вкладывают огромную работу в оптимизацию и ускорение данных запросов, чтобы ни в чем не уступать своим конкурентам. Различные исследования показали, что замедления в обработке запросов могут привести к значительным коммерческим потерям. Одними из самых быстрых на сегодня являются сервера центра сертификации Comodo, за ним следует GeoTrust, Thawte и Symantec.


Корзина 0 позиций
на сумму 0 ₽
Связаться со мной
Отправить
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Оформить заказ
Заказать
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Добавить отзыв
Оставить отзыв
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Отзыв отправлен!
Спасибо за обращение! Мы опубликуем его как только наши сотрудники проверят его
Сообщение отправлено!
Спасибо за обращение! Мы свяжемся с Вами в ближайшие рабочие часы
Отправка не удалась
Во время отправки запроса произошла ошибка. Пожалуйста, подождите и попробуйте снова через некоторое время или позвоните на мой номер телефона
Авторизация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Забыли пароль?
\
Регистрация
Восстановление пароля
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
\
Регистрация
Ошибка авторизации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная авторизация
Через 5 секунд страница будет перезагружена и вы сможете войти в свой аккаунт
Ошибка регистрации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная регистрация
Вам на почту должно прийти письмо с ссылкой на подтверждение аккаунта. Пожалуйста перейдите по ней и активируйте свой аккаунт
Ошибка регистрации
Такой пользователь уже существует. Пожалуйста, проверьте корректность данных.
Регистрация
Ошибка восстановления пароля
Пожалуйста, проверьте корректность email.
Успех
Ваш новый пароль был выслан вам на email
Регистрация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
Создать тикет
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Свяжитесь с нами
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Сообщение отправлено!
Ваше сообщение получено. Наш менеджер свяжется с вами в ближайшие рабочие часы
Проверка DNS валидации
Скачать файл валидации
Для валидации домена разместите скачанный текстовый файл в указанную директорию на Вашем сервере:
Выберите подходящий вариант

К сожалению, выбранный сертификат от данного центра сертификации не может быть выдан. Так как ЦС приостановил выпуск новых/продление заказов для доменов в зоне .ru, .рф, .by, .su, .moscow и для сертификатов с OV, EV проверкой, где фигурирует компания из России.

Пожалуйста рассмотрите возможность выпуска сертификатов от AlphaSSL или Globalsign.