什么是OCSP Stapling?什么是OCSP装订?

baipose10个月前 (07-04)SSL问与答595

1. OCSP装订(英语:OCSP Stapling)

正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。

2. 动机

OCSP装订解决了在线证书协议中的大多数问题。CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此使用在线证书协议时,高并发的请求会给CA的服务器带来很大的压力。同时由于必须和CA建立连接,OCSP查询还会影响浏览器打开页面的速度并泄漏用户隐私。此外,当OCSP查询无法得到响应时,浏览器必须选择是否在无法确认证书状态的情况下继续连接,造成安全性和可用性二选一的困局。

3.发展

OCSP装订的支持正在逐步落实。OpenSSL在Mozilla基金会的协助下发布了支持OCSP装订的0.9.8g版本。

服务器端的支持情况:

 

浏览器的支持情况:

 

SMTP方面,Exim在客户端和服务器端都支持OCSP装订。 

 

4.标准

RFC 6066第8章中规定了TLS证书状态查询扩展的标准。

RFC 6961定义了多证书状态查询扩展,允许TLS握手中发送多个证书的OCSP响应。 

5.部署

OCSP装订支持正在逐步实施。该OpenSSL的项目列入其0.9.8g发布从赠款的援助支持Mozilla基金会。

Apache HTTP服务器支持OCSP装订自2.3.3版本,的nginx的,因为1.3.7版本的Web服务器,的Litespeed Web服务器自版本4.2.4,微软的IIS,因为Windows Server 2008中,HAProxy从版本1.5.0开始,自11.6.0版本开始的F5 NetworksBIG-IP以及从版本7.2.37.1开始的KEMP LoadMasters。

在浏览器端,OCSP装订在开始实施的Firefox26,在Internet Explorer中,因为Windows Vista中,和谷歌Chrome在Linux中,Chrome操作系统和Windows Vista的以来。

对于SMTP,Exim邮件传输代理支持客户端和服务器模式下的OCSP装订。

6.局限性

OCSP装订可以降低OCSP验证的成本,特别针对有很多用户的大型网站。但是OCSP装订在同一时间只能发送一个OCSP响应,对有中级证书的证书链来说并不足够。RFC 6961中提出的多证书状态查询扩展解决了这个问题,允许同时发送多个OCSP响应。

7. 意义

在服务器上部署ocsp装订,能大大缓解链接数与高并发量。省去多次握手操作,使网站访问速度更快。


相关文章

最好的SSL证书是什么?

SSL证书是网站建设的核心要素。除了获得域名和可靠的托管服务提供商之外,安装SSL证书对于任何想要构建成功网站的人来说都是当务之急。 如今,最流行的浏览器之一Chrome和Firefox将未加密的站点...

https可以保证安全吗?

    提到了https,我们大家都觉得十分熟悉,在现实生活当中,它确实可以依赖于网络,带给我们便捷的生活,但有时候我们也会觉得过分纠结,因为我们确实不是很清楚,如何才可以净化网络...

https加密证书能带来什么好处

这篇文章主要介绍https加密证书能带来什么好处,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!就在互联网全球化发展的今天,个人用户信息泄露,流量数据劫持事件愈发严峻,而针对这个...

thawte代码签名证书,comodo软件签名证书,symantec,digicert签名证书的区别

1. comodo thawte symantec代码签名证书仅支持SHA2(SHA256)加密算法2. digicert代码签名证书支持SHA1和SHA2(SHA256)加密算法3.功能方面几乎没区...

将SSL证书安装到Java密钥库时遇到问题

我正在使用以下步骤生成密钥库,然后生成相应的CSR,然后将CSR发送给godaddy进行签名并接收了相应的证书文件。但是当我尝试将接收到的.crt文件导入密钥库时,我得到了“ keytool错误:ja...

SSL证书常见错误和解决办法

SSL证书常见错误和解决办法问题:此网站出具的安全证书不是由受信任的证书颁发机构颁发的。服务器正在使用的SSL证书不是通过正式的全球信任的CA颁发。推荐购买GlobalSign SSL,GeoTrus...