پروتکل برخط تعیین وضعیت گواهی

پروتکل تعیین وضعیت گواهی آنلاین(Online Certificate Status Protocol)، یک پروتکل اینترنت برای پی بردن به وضعیت ابطال یک گواهی دیجیتال x.۵۰۹ است. این پروتکل در rfc 6960 تعریف شده‌است و در قسمت استانداردهای اینترنت جای دارد. پروتکل تعیین وضعیت گواهی آنلاین(OCSP) به عنوان جانشینی برای لیست ابطال گواهی(CRL) مطرح می‌باشد. راه حل غلبه بر نواقص crl، ocsp است. به جای اینکه فقط یک لیستی باشد که بین مرورگرها توزیع شود، ocsp یک ساختار حساس به زمان برای جستجوی رکوردها دارد. پیام‌های ارتباطی در ocsp توسط ASN.۱ کدگذاری می‌شوند و معمولاً بر روی http ارتباط برقرار می‌کنند. ماهیت درخواست و پاسخی این پیام‌ها دلیل نامیده شدن سرورهای ocsp به پاسخ دهنده‌های آنلاین ocsp می‌شود.

مقایسه با لیست ابطال گواهی

ویرایش

استفاده از پاسخ دهنده‌های آنلاین که پاسخ‌های ocsp را توزیع می‌کنند، همرا ه لیست‌های ابطال گواهی، یکی از دو راه حل معمول برای بدست آوردن اطلاعات مربوط به اعتبار گواهی‌های است. برخلاف crl که به صورت دوره‌ای توزیع می‌شود و شامل اطلاعاتی در مورد همه گواهی‌هایی است که باطل یا معلق شده‌اند؛ یک پاسخ دهنده آنلاین فقط درخواست‌هایی برای یک گواهی خاص را دریافت و پاسخ می‌دهد. به‌طور خلاصه:

  • ۱. چون پاسخ ocsp شامل اطلاعات کمتری نسبت به نوع crl است، ocsp می‌تواند به صورت بهینه تر از شبکه یا منابع کلاینت‌ها استفاده کند.
  • ۲. با استفاده از ocsp، کلاینت‌ها نیاز ندارند خودشان لیست‌های ابطال گواهی را تجزیه و تحلیل کنند و این باعث پیچیدگی کمتر در سمت کلاینت خواهد شد.
  • ۳. Ocsp رمزنگاری را تعهد نمی‌کند، بنابراین دیگران می‌توانند به محتویات دسترسی پیدا کنند.

در شرایط بسیاری، پاسخ دهنده‌های آنلاین درخواست‌های وضعیت گواهی را بهینه تر از crl پردازش می‌کنند. برای مثال:

  • ۱. نیاز به اتصالات پرسرعت جهت دانلود لیست‌های بزرگ crl نیست.
  • ۲. پیک‌های بزرگ در بررسی ابطال گواهی‌ها، مانند زمانی که تعداد زیادی از کاربرها وجود دارند، باید کنترل شوند.
  • ۳. یک سازمان برای توزیع داده‌های ابطال برای گواهی‌های صادر شده از جانب caهای غیر مایکروسافت، نیاز به ابزار بهینه‌ای دارد.

جزئیات پروتکل

ویرایش

پاسخی که یک پاسخ دهنده ocsp بر می‌گرداند ممکن است است نشان دهنده این باشد که وضعیت گواهی ناشناخته، باطل شده یا خوب باشد. اگر پاسخ دهنده درخواست وضعیت را پردازش نماید، ممکن است یک کد خطا برگرداند. این پروتکل مستعد حملات replay می‌باشد، مثلاً ممکن است پاسخ خوب به وسیله یک مداخله‌کننده بدخواه ضبط شده و زمانی که گواهی باطل شده‌است، آن را ارسال کند. پروتکل تعیین وضعیت گواهی آنلاین این مشکل را با اجازه nonce به درخواست‌ها و پاسخ‌ها حل کرده‌است. اما با این وجود، چون بیشتر پاسخ دهنده‌ها و کلاینت‌ها از گسترش nonce پشتیبانی نمی‌کنند و Caها پاسخ‌هایی با اعتبار چند روزه انتشار می‌دهند، replay یک مشکل برای سیستم‌های تعیین اعتبار است.

نگرانی از privacy

ویرایش

این پروتکل نگرانی در مورد privacy برای کلاینت‌ها ایجاد می‌کند، چون از کاربران می‌خواهد با شخص ثالثی تماس بگیرند تا اعتبار گواهی معلوم شود.

پشتیبانی مرورگرها

ویرایش

آرایه پاسخ دهنده‌ها

ویرایش

چون پاسخ دهنده‌های آنلاین برای سرویس دادن به درخواست وضعیت گواهی طراحی شده‌است، یک آرایه پاسخ دهنده‌های آنلاین برای تعادل بار و جلوگیری از حملات DOS، مورد نیاز است. پاسخ دهنده‌های آنلاین ویندوز سرور می‌توانند در پیکربندی‌های آرایه‌ای زیر نصب شوند:

  • ۱. یک پاسخ دهنده برای چندین ca
  • ۲. چندین پاسخ دهنده و یک ca
  • ۳. چندین پاسخ دهنده و چندین ca

جستارهای وابسته

ویرایش

منابع

ویرایش

پیوند به بیرون

ویرایش