OCSP

Az Online Certificate Status Protocol ( OCSP ) egy internetes protokoll, amelyet az X.509 digitális tanúsítvány visszavonási állapotának megállapítására használnak . A protokollmechanizmust az RFC 6960 írja le, és ez az Internet egyik de facto szabványa . A tanúsítvány visszavonási listák (CRL) alternatívájaként hozták létre, kifejezetten a CRL-ek nyilvános kulcsú infrastruktúrában ( PKI ) való használatával kapcsolatos problémák megoldására. Az OCSP üzenetek ASN.1 kódolásúak, és általában HTTP -n keresztül kerülnek továbbításra . Az üzenetek kérés/válasz párbeszédpaneljei lehetővé teszik, hogy az OCSP-kiszolgálókat OCSP- válaszadóknak nevezzük .

Nem minden webböngésző használ OCSP-t a HTTPS SSL/TLS-tanúsítványok érvényesítésére .

Összehasonlítás a CRL -ekkel

• Az OCSP-válasz kevesebb adatot tartalmaz, mint egy tipikus tanúsítvány-visszavonási lista ( CRL ), ami csökkenti a hálózati és ügyfél-erőforrások terhelését.
• Mivel az OCSP-válasz kevesebb elemezni és feldolgozandó adatot tartalmaz, az ügyfélkönyvtárak feldolgozása kevésbé bonyolult, mint a CRL -eket feldolgozóké .
• Az OCSP arra a kérésre válaszol, hogy egy bizonyos hálózati gazdagép egy bizonyos tanúsítványt használjon egy bizonyos ideig.
• Ezek az információk nyilvánosak, ezért az OCSP nem igényel titkosítást, így ha más felek elfogják ezeket az információkat, az biztonságos. Az esetleges válaszhamisítás azonban sebezhetőséget jelent.

A PKI alapvető megvalósítása

1. Alena és Boris válaszadók, mindegyik rendelkezik nyilvános kulcsú tanúsítvánnyal, amelyet valamilyen tanúsító hatóság (Certificate Authority, CA ) bocsátott ki.
2. Alyona tranzakciót akar kötni Borisszal, és elküldi neki a nyilvános kulcsú tanúsítványát.
3. Boris attól tartva, hogy az Alyona privát kulcsa feltörhetett, létrehoz egy „OCSP-kérést”, amely tartalmazza az Alyona tanúsítványának sorozatszámát, és elküldi a CA -nak .
4. A Hitelesítés-szolgáltató OCSP szolgáltatása kiolvassa a tanúsítvány sorszámát Boris kéréséből, és megkeresi Alena tanúsítványának állapotát. A CA CA adatbázisban az a lehetséges állapot, hogy a tanúsítványt visszavonták. Ebben az esetben a CA - adatbázis az egyetlen megbízható forrás, amely megerősítheti, hogy Alena tanúsítványát feltörték.
5. A Hitelesítés-szolgáltató OCSP szolgáltatása megerősíti, hogy Alena tanúsítványa továbbra is rendben van, és aláírt, pozitív "OCSP választ" küld Borisnak.
6. Boris titkosítással ellenőrzi a CA aláírt válaszát . A CA nyilvános kulcsát Boris előre elmentette, és ezzel ellenőrzi a CA válaszának érvényességét.
7. Boris befejezi a tranzakciót Alenával.

Protokoll részletei

Az OCSP válaszadó (általában a CA-kiszolgáló) aláírt választ ad vissza a kérésben megadott tanúsítvány állapotával: érvényes , visszavonva vagy ismeretlen állapot . Ha nem tudja feldolgozni a kérést, hibakódot küldhet vissza.

Az OCSP-kérés formátuma további kiterjesztéseket is támogat. Ez további testreszabást tesz lehetővé egy adott PKI -sémához .

Az OCSP sebezhető lehet az újrajátszható támadásokkal szemben, amikor az aláírt, érvényes választ egy rosszindulatú közvetítő rögzíti, és később, az alanyi tanúsítvány visszavonása után visszajátssza az ügyfélnek. Az OCSP lehetővé teszi, hogy egy nonce szerepeljen a kérésben – egy nonce , amely a megfelelő válaszban szerepelhet. A nagy terhelés miatt a legtöbb OCSP válaszadó nem használja a nonce kiterjesztést arra, hogy minden kéréshez különböző válaszokat hozzon létre, hanem előre aláírt, több napos érvényességi idejű válaszokat használ. Így az újrajátszó támadás komoly veszélyt jelent az érvényesítő rendszerekre.

Az OCSP egynél több CA réteget is támogathat. Az OCSP kérések összekapcsolhatók a peer-to-peer válaszadók között, hogy az alany tanúsítványához megfelelő kibocsátó CA-t kérjenek, a válaszadók pedig saját OCSP kéréseik segítségével érvényesítik egymás válaszait a gyökér CA-nak.

Az OCSP válaszadó visszavonási információkat kérhet a delegált elérési út érvényesítési (DPV) kiszolgálóiról. Az OCSP önmagában nem teljesíti a szállított tanúsítványok DPV-jét.

A választ aláíró kulcsnak nem kell megegyeznie a tanúsítványt aláíró kulccsal. A tanúsítvány kibocsátója átruházhat egy másik hatóságot, hogy OCSP válaszadó legyen. Ebben az esetben a tanúsítvány válaszadójának (aki a választ aláírta) a kérésre válaszul egy speciális kiterjesztést kell kiadnia a tanúsítvány kibocsátójának, amely OCSP szolgáltatás aláírásként hivatkozik rá (pontosabban egy kiterjesztett használatára). megújítási kulcs azonosítókkal:

Megvalósítások

Az OCSP-nek számos nyílt és szabadalmaztatott megvalósítása létezik, beleértve a teljes értékű szervereket és könyvtárakat egyedi alkalmazások készítéséhez. Az OCSP-kliensek támogatása számos operációs rendszerbe, webböngészőbe és más hálózati szoftverbe be van építve a HTTPS és a WWW növekvő népszerűsége miatt .

Szerver

• Boulder, [1] CA és OCSP válaszadó, amelyet a Let's Encrypt ( Go ) fejlesztett és használ
• DogTag, [2] Nyílt forráskódú CA, CRL és OCSP CA válaszadó.
• Ejbca, [3] CA és OCSP válaszadó ( Java )
• OpenXPKI, [4] CA és OCSP az OpenXPKI konfiguráció kiterjesztéseként.
• XiPKI, [5] CA és OCSP válaszadó. Az RFC 6960 és az SHA3 ( Java ) támogatásával

Saját szoftver:

• CA Certificate Services és OCSP Responder a Windows Server csomagban [6] .

Könyvtárak

• cfssl ( menj )
• OpenSSL ( C )
• wolfSSL ( C )

Böngésző támogatás

Az OCSP széles körben támogatott a legtöbb fő böngészőben:

• Az Internet Explorer a Windows CryptoAPI-ra épül, így a Windows Vista 7-es verziója (de nem a Windows XP ) óta támogatja az OCSP-ellenőrzést.

A Mozilla Firefox összes verziója támogatja az OCSP ellenőrzést. A Firefox 3 alapértelmezés szerint tartalmazza az OCSP ellenőrzést.

• A macOS rendszeren futó Safari támogatja az OCSP érvényesítését. A Mac OS X 10.7 (Lion) óta alapértelmezés szerint engedélyezve van . Ezt megelőzően manuálisan kell aktiválni a távirányító beállításaiban.
• Az Opera 8.0-tól a jelenlegi verzióig terjedő verziói támogatják az OCSP-ellenőrzést.

A Google Chrome azonban kivétel. A Google 2012-ben alapértelmezés szerint letiltotta az OCSP-ellenőrzéseket, késleltetési és adatvédelmi problémákra hivatkozva, és ehelyett a saját frissítési mechanizmusát használja a visszavont tanúsítványok elküldésére a böngészőnek.

Jegyzetek

1. ↑ GitHub - letsencrypt/boulder: ACME-alapú tanúsító hatóság, Go-ban írva . Letöltve: 2019. augusztus 13. Az eredetiből archiválva : 2019. augusztus 8.. (határozatlan)
2. ↑ Dogtag . Letöltve: 2019. augusztus 13. Az eredetiből archiválva : 2019. augusztus 12. (határozatlan)
3. ↑ EJBCA – A nyílt forráskódú CA. Letöltve: 2019. augusztus 13. Az eredetiből archiválva : 2017. október 3. (határozatlan)
4. ↑ Realm - OpenXPKI 3.1.1 dokumentáció . Letöltve: 2019. augusztus 13. Az eredetiből archiválva : 2020. augusztus 5.. (határozatlan)
5. ↑ GitHub – xipki/xipki: Rendkívül skálázható és nagy teljesítményű nyílt forráskódú PKI (CA és OCSP válaszadó). Minimális függőségek, No-JPA, No-Spring . Letöltve: 2019. augusztus 13. Az eredetiből archiválva : 2017. augusztus 31.. (határozatlan)
6. ↑ Tanúsítványszolgáltatások – Win32 alkalmazások | Microsoft dokumentumok . Letöltve: 2019. augusztus 13. Az eredetiből archiválva : 2019. augusztus 13. (határozatlan)

Külső linkek

• Nyilvános kulcsú infrastruktúra: Működési protokollok a Curlie Links Directoryban (dmoz)
• RFC 2560, X.509 Internet nyilvános kulcsú infrastruktúra online tanúsítványállapot-protokoll – OCSP
• RFC 4806, Online Certificate Status Protocol (OCSP) kiterjesztések az IKEv2-hez
• RFC 5019, The Lightweight Online Certificate Status Protocol (OCSP) profil nagy volumenű környezetekhez
• RFC 6960, X.509 Internet nyilvános kulcsú infrastruktúra online tanúsítványállapot-protokoll – OCSP
• A Processor.com 2009. áprilisi cikke az Online Certificate Status Protocolról