پروتکل برخط تعیین وضعیت گواهی
 | برای تأییدپذیری کامل این مقاله به منابع بیشتری نیاز است. (ژانویه ۲۰۲۴) |
پروتکل تعیین وضعیت گواهی آنلاین(Online Certificate Status Protocol)، یک پروتکل اینترنت برای پی بردن به وضعیت ابطال یک گواهی دیجیتال x.۵۰۹ است. این پروتکل در rfc 6960 تعریف شدهاست و در قسمت استانداردهای اینترنت جای دارد. پروتکل تعیین وضعیت گواهی آنلاین(OCSP) به عنوان جانشینی برای لیست ابطال گواهی(CRL) مطرح میباشد. راه حل غلبه بر نواقص crl، ocsp است. به جای اینکه فقط یک لیستی باشد که بین مرورگرها توزیع شود، ocsp یک ساختار حساس به زمان برای جستجوی رکوردها دارد. پیامهای ارتباطی در ocsp توسط ASN.۱ کدگذاری میشوند و معمولاً بر روی http ارتباط برقرار میکنند. ماهیت درخواست و پاسخی این پیامها دلیل نامیده شدن سرورهای ocsp به پاسخ دهندههای آنلاین ocsp میشود.
مقایسه با لیست ابطال گواهی[ویرایش]
استفاده از پاسخ دهندههای آنلاین که پاسخهای ocsp را توزیع میکنند، همرا ه لیستهای ابطال گواهی، یکی از دو راه حل معمول برای بدست آوردن اطلاعات مربوط به اعتبار گواهیهای است. برخلاف crl که به صورت دورهای توزیع میشود و شامل اطلاعاتی در مورد همه گواهیهایی است که باطل یا معلق شدهاند؛ یک پاسخ دهنده آنلاین فقط درخواستهایی برای یک گواهی خاص را دریافت و پاسخ میدهد. بهطور خلاصه:
- ۱. چون پاسخ ocsp شامل اطلاعات کمتری نسبت به نوع crl است، ocsp میتواند به صورت بهینه تر از شبکه یا منابع کلاینتها استفاده کند.
- ۲. با استفاده از ocsp، کلاینتها نیاز ندارند خودشان لیستهای ابطال گواهی را تجزیه و تحلیل کنند و این باعث پیچیدگی کمتر در سمت کلاینت خواهد شد.
- ۳. Ocsp رمزنگاری را تعهد نمیکند، بنابراین دیگران میتوانند به محتویات دسترسی پیدا کنند.
در شرایط بسیاری، پاسخ دهندههای آنلاین درخواستهای وضعیت گواهی را بهینه تر از crl پردازش میکنند. برای مثال:
- ۱. نیاز به اتصالات پرسرعت جهت دانلود لیستهای بزرگ crl نیست.
- ۲. پیکهای بزرگ در بررسی ابطال گواهیها، مانند زمانی که تعداد زیادی از کاربرها وجود دارند، باید کنترل شوند.
- ۳. یک سازمان برای توزیع دادههای ابطال برای گواهیهای صادر شده از جانب caهای غیر مایکروسافت، نیاز به ابزار بهینهای دارد.
جزئیات پروتکل[ویرایش]
پاسخی که یک پاسخ دهنده ocsp بر میگرداند ممکن است است نشان دهنده این باشد که وضعیت گواهی ناشناخته، باطل شده یا خوب باشد. اگر پاسخ دهنده درخواست وضعیت را پردازش نماید، ممکن است یک کد خطا برگرداند. این پروتکل مستعد حملات replay میباشد، مثلاً ممکن است پاسخ خوب به وسیله یک مداخلهکننده بدخواه ضبط شده و زمانی که گواهی باطل شدهاست، آن را ارسال کند. پروتکل تعیین وضعیت گواهی آنلاین این مشکل را با اجازه nonce به درخواستها و پاسخها حل کردهاست. اما با این وجود، چون بیشتر پاسخ دهندهها و کلاینتها از گسترش nonce پشتیبانی نمیکنند و Caها پاسخهایی با اعتبار چند روزه انتشار میدهند، replay یک مشکل برای سیستمهای تعیین اعتبار است.
نگرانی از privacy[ویرایش]
این پروتکل نگرانی در مورد privacy برای کلاینتها ایجاد میکند، چون از کاربران میخواهد با شخص ثالثی تماس بگیرند تا اعتبار گواهی معلوم شود.
پشتیبانی مرورگرها[ویرایش]
- اینترنت اکسپلورر نسخه هفت به بالا در ویندوز ویستا به بعد ocsp را پشتیبانی میکند.
- همهٔ نسخههای mozila firefox، نسخههای safari در mac os، نسخههای اپرا هشت به بعد و گوگل کروم ocsp را پشتیبانی میکنند.
آرایه پاسخ دهندهها[ویرایش]
چون پاسخ دهندههای آنلاین برای سرویس دادن به درخواست وضعیت گواهی طراحی شدهاست، یک آرایه پاسخ دهندههای آنلاین برای تعادل بار و جلوگیری از حملات DOS، مورد نیاز است. پاسخ دهندههای آنلاین ویندوز سرور میتوانند در پیکربندیهای آرایهای زیر نصب شوند:
- ۱. یک پاسخ دهنده برای چندین ca
- ۲. چندین پاسخ دهنده و یک ca
- ۳. چندین پاسخ دهنده و چندین ca
جستارهای وابسته[ویرایش]
- Server-based Certificate Validation Protocol (SCVP)
- OCSP Stapling
- Certificate server
- Certificate transparency
منابع[ویرایش]
پیوند به بیرون[ویرایش]
- Public Key Infrastructure: Operational Protocols در کرلی
- RFC 2560, X.۵۰۹ Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
- RFC 4806, Online Certificate Status Protocol (OCSP) Extensions to IKEv2
- RFC 6960, X.۵۰۹ Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
- Processor.com April, 2009 article about Online Certificate Status Protocol
