15:55 Протокол статуса сертификата онлайн | |
| Статус Online Certificate Protocol ( OCSP ) является интернет - протокол , используемый для получения статуса аннулирования в X.509 цифрового сертификата . описано в RFC 6960 и находится на пути стандартов Интернета . Он был создан как альтернатива спискам отзыва сертификатов (CRL), специально предназначенный для решения определенных проблем, связанных с использованием CRL в инфраструктуре открытого ключа (PKI). Сообщения, передаваемые через OCSP, кодируются в ASN.1 и обычно передаются по HTTP., Природа этих запросов "запрос / ответ" приводит к тому, что серверы OCSP называются ответчиками OCSP . Некоторые веб-браузеры используют OCSP для проверки сертификатов HTTPS . Базовая реализация PKI Алиса и Боб имеют сертификаты открытых ключей, выданные Кэрол, центром сертификации (CA). Алиса хочет выполнить транзакцию с Бобом и отправляет ему свой сертификат открытого ключа. Боб, обеспокоенный тем, что закрытый ключ Алисы может быть скомпрометирован, создает «запрос OCSP», содержащий серийный номер сертификата Алисы, и отправляет его Кэрол. Ответчик Кэрол OCSP считывает серийный номер сертификата из запроса Боба. Ответчик OCSP использует серийный номер сертификата для поиска статуса отзыва сертификата Алисы. Ответчик OCSP просматривает базу данных CA, которую ведет Кэрол. В этом случае база данных CA Кэрол является единственным надежным местом, где будет записан компромисс с сертификатом Алисы. Ответчик Кэрол OCSP подтверждает, что сертификат Алисы все еще в порядке, и возвращает Бобу подписанный успешный «ответ OCSP». Боб криптографически проверяет подписанный ответ Кэрол. Боб сохранил открытый ключ Кэрол где-то перед этой транзакцией. Боб использует открытый ключ Кэрол, чтобы проверить ответ Кэрол. Боб завершает сделку с Алисой. Ответчик OCSP (сервер, обычно запускаемый издателем сертификата) может вернуть подписанный ответ, означающий, что сертификат, указанный в запросе, является «хорошим», «отозванным» или «неизвестным». Если он не может обработать запрос, он может вернуть код ошибки. Формат запроса OCSP поддерживает дополнительные расширения. Это дает возможность обширной настройки для конкретной схемы PKI. OCSP может быть уязвим к атакам воспроизведения , когда подписанный, «хороший» ответ перехватывается злонамеренным посредником и воспроизводится клиенту позднее, после того как сертификат субъекта может быть отозван. OCSP позволяет включать одноразовый номер в запрос, который может быть включен в соответствующий ответ. Из-за высокой нагрузки большинство респондентов OCSP не используют расширение nonce для создания разных ответов для каждого запроса, вместо этого используют предварительно назначенные ответы со сроком действия в несколько дней. Таким образом, атака воспроизведения представляет собой серьезную угрозу для систем проверки. OCSP может поддерживать более одного уровня CA. Запросы OCSP могут быть связаны между одноранговыми респондентами для запроса выдающего CA, соответствующего предметному сертификату, при этом респонденты проверяют ответы друг друга относительно корневого CA, используя свои собственные запросы OCSP. Ответчик OCSP может запрашивать информацию об отзыве серверами с проверкой делегированного пути (DPV). OCSP сам по себе не выполняет DPV предоставленных сертификатов. Ключ, подписывающий ответ, не обязательно должен совпадать с ключом, подписавшим сертификат. Издатель сертификата может делегировать другое полномочие быть ответчиком OCSP. В этом случае сертификат ответчика (тот, который используется для подписи ответа) должен быть выдан эмитентом соответствующего сертификата и должен включать определенное расширение, которое помечает его как орган подписи OCSP (точнее, расширенный расширение использования ключа с помощью OID {iso (1) идентифицированная организация (3) dod (6) интернет (1) механизмы безопасности (5) (5) pkix (7) keyPurpose (3) ocspSigning (9)}) | |
|
| |
| Всього коментарів: 0 | |