پروتکل برخط تعیین وضعیت گواهی

برای تأییدپذیری کامل این مقاله به منابع بیشتری نیاز است. لطفاً با توجه به شیوهٔ ویکی‌پدیا برای ارجاع به منابع، با ارائهٔ منابع معتبر به بهبود این مقاله کمک کنید. مطالب بی‌منبع را می‌توان به چالش کشید و حذف کرد. یافتن منابع: "پروتکل برخط تعیین وضعیت گواهی" – اخبار · روزنامه‌ها · کتاب‌ها · آکادمیک · جی‌استور (ژانویه ۲۰۲۴) (چگونگی و زمان حذف پیام این الگو را بدانید)

پروتکل تعیین وضعیت گواهی آنلاین(Online Certificate Status Protocol)، یک پروتکل اینترنت برای پی بردن به وضعیت ابطال یک گواهی دیجیتال x.۵۰۹ است. این پروتکل در rfc 6960 تعریف شده‌است و در قسمت استانداردهای اینترنت جای دارد. پروتکل تعیین وضعیت گواهی آنلاین(OCSP) به عنوان جانشینی برای لیست ابطال گواهی(CRL) مطرح می‌باشد. راه حل غلبه بر نواقص crl، ocsp است. به جای اینکه فقط یک لیستی باشد که بین مرورگرها توزیع شود، ocsp یک ساختار حساس به زمان برای جستجوی رکوردها دارد. پیام‌های ارتباطی در ocsp توسط ASN.۱ کدگذاری می‌شوند و معمولاً بر روی http ارتباط برقرار می‌کنند. ماهیت درخواست و پاسخی این پیام‌ها دلیل نامیده شدن سرورهای ocsp به پاسخ دهنده‌های آنلاین ocsp می‌شود.

استفاده از پاسخ دهنده‌های آنلاین که پاسخ‌های ocsp را توزیع می‌کنند، همرا ه لیست‌های ابطال گواهی، یکی از دو راه حل معمول برای بدست آوردن اطلاعات مربوط به اعتبار گواهی‌های است. برخلاف crl که به صورت دوره‌ای توزیع می‌شود و شامل اطلاعاتی در مورد همه گواهی‌هایی است که باطل یا معلق شده‌اند؛ یک پاسخ دهنده آنلاین فقط درخواست‌هایی برای یک گواهی خاص را دریافت و پاسخ می‌دهد. به‌طور خلاصه:

• ۱. چون پاسخ ocsp شامل اطلاعات کمتری نسبت به نوع crl است، ocsp می‌تواند به صورت بهینه تر از شبکه یا منابع کلاینت‌ها استفاده کند.
• ۲. با استفاده از ocsp، کلاینت‌ها نیاز ندارند خودشان لیست‌های ابطال گواهی را تجزیه و تحلیل کنند و این باعث پیچیدگی کمتر در سمت کلاینت خواهد شد.
• ۳. Ocsp رمزنگاری را تعهد نمی‌کند، بنابراین دیگران می‌توانند به محتویات دسترسی پیدا کنند.

در شرایط بسیاری، پاسخ دهنده‌های آنلاین درخواست‌های وضعیت گواهی را بهینه تر از crl پردازش می‌کنند. برای مثال:

• ۱. نیاز به اتصالات پرسرعت جهت دانلود لیست‌های بزرگ crl نیست.
• ۲. پیک‌های بزرگ در بررسی ابطال گواهی‌ها، مانند زمانی که تعداد زیادی از کاربرها وجود دارند، باید کنترل شوند.
• ۳. یک سازمان برای توزیع داده‌های ابطال برای گواهی‌های صادر شده از جانب caهای غیر مایکروسافت، نیاز به ابزار بهینه‌ای دارد.

پاسخی که یک پاسخ دهنده ocsp بر می‌گرداند ممکن است است نشان دهنده این باشد که وضعیت گواهی ناشناخته، باطل شده یا خوب باشد. اگر پاسخ دهنده درخواست وضعیت را پردازش نماید، ممکن است یک کد خطا برگرداند. این پروتکل مستعد حملات replay می‌باشد، مثلاً ممکن است پاسخ خوب به وسیله یک مداخله‌کننده بدخواه ضبط شده و زمانی که گواهی باطل شده‌است، آن را ارسال کند. پروتکل تعیین وضعیت گواهی آنلاین این مشکل را با اجازه nonce به درخواست‌ها و پاسخ‌ها حل کرده‌است. اما با این وجود، چون بیشتر پاسخ دهنده‌ها و کلاینت‌ها از گسترش nonce پشتیبانی نمی‌کنند و Caها پاسخ‌هایی با اعتبار چند روزه انتشار می‌دهند، replay یک مشکل برای سیستم‌های تعیین اعتبار است.

این پروتکل نگرانی در مورد privacy برای کلاینت‌ها ایجاد می‌کند، چون از کاربران می‌خواهد با شخص ثالثی تماس بگیرند تا اعتبار گواهی معلوم شود.

• اینترنت اکسپلورر نسخه هفت به بالا در ویندوز ویستا به بعد ocsp را پشتیبانی می‌کند.
• همهٔ نسخه‌های mozila firefox، نسخه‌های safari در mac os، نسخه‌های اپرا هشت به بعد و گوگل کروم ocsp را پشتیبانی می‌کنند.

چون پاسخ دهنده‌های آنلاین برای سرویس دادن به درخواست وضعیت گواهی طراحی شده‌است، یک آرایه پاسخ دهنده‌های آنلاین برای تعادل بار و جلوگیری از حملات DOS، مورد نیاز است. پاسخ دهنده‌های آنلاین ویندوز سرور می‌توانند در پیکربندی‌های آرایه‌ای زیر نصب شوند:

• ۱. یک پاسخ دهنده برای چندین ca
• ۲. چندین پاسخ دهنده و یک ca
• ۳. چندین پاسخ دهنده و چندین ca

• Server-based Certificate Validation Protocol (SCVP)
• OCSP Stapling
• Certificate server
• Certificate transparency

• ویکی‌پدیای انگلیسی

• Public Key Infrastructure: Operational Protocols در کرلی
• RFC 2560, X.۵۰۹ Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
• RFC 4806, Online Certificate Status Protocol (OCSP) Extensions to IKEv2
• RFC 6960, X.۵۰۹ Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
• Processor.com April, 2009 article about Online Certificate Status Protocol