Protocolul de stare a certificatului online

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Protocolul de stare a certificatului online ( OCSP ) este un protocol care vă permite să verificați validitatea unui certificat fără a recurge la liste de revocare a certificatelor. Face parte din standardul X.509 și este descris în RFC 2560 .

Funcționalitate

Protocolul de stare a certificatelor online este standardul emergent al Internet Engineering Task Force ( IETF ) pentru verificarea validității certificatelor digitale în timpul unei tranzacții date. OCSP vă permite să efectuați aceste verificări în timp real, economisind timp și bani și oferind activități de e-business cu un sistem mai rapid, mai simplu și mai fiabil pentru validarea certificatelor digitale decât cel oferit de descărcarea tradițională și procesarea listelor de revocare a certificatelor. ( CRL). În timp ce CRL prevede de fapt descărcarea unei liste grele care conține certificatele revocate, OCSP exploatează interogarea de către client utilizând numărul de serie al certificatului pentru a indica solicitantului dacă acest certificat a fost revocat sau nu. Adresele URL utilizate pentru conectarea la serverul OCSP pot fi vizualizate prin deschiderea certificatului.

Cum funcționează OCSP

Cu toate acestea, deși OCSP și CRL se exclud reciproc, în cazul în care conexiunea cu furnizorul de servicii de stare a certificatului nu este posibilă, sistemele care exploatează certificate ar putea folosi CRL ca alternativă în loc de OCSP.

Arhitectură

Arhitectura protocolului este de tip server client , pe de o parte avem diferiții clienți care fac o cerere ( cerere OCSP ) pentru a verifica validitatea certificatului, în timp ce pe de altă parte avem serverul ( răspuns ) care încearcă să satisfacă toate cererile prin trimiterea de mesaje de validitate.

Apelul de conectare la serverul OCSP poate returna trei rezultate diferite: valid, revocat sau necunoscut. Primul indică un răspuns pozitiv, ceea ce înseamnă că certificatul nu a fost revocat, dar nu asigură faptul că certificatul nu a avut niciodată o problemă sau că răspunsul nu a fost produs atunci când certificatul era în intervalul său de validitate. Extensiile pot fi, de asemenea, utilizate pentru a primi informații suplimentare, cum ar fi emiterea sau validitatea, despre certificat. Al doilea rezultat, revocat, indică faptul că certificatul a fost revocat, permanent sau temporar. Starea „necunoscută”, pe de altă parte, indică faptul că respondentul nu știe nimic despre certificatul solicitat.

O problemă de securitate apare, de asemenea, atunci când aveți de a face cu un flux de interogare și este posibil să aveți o vulnerabilitate de „refuz de serviciu”. Acest lucru se datorează producției lente a unei semnături criptografice, ceea ce face ca generarea răspunsului de către server să fie mai lentă. Răspunsurile de eroare pentru o semnătură lipsă de fapt fac ca protocolul să fie vulnerabil la o altă „negare a serviciului”, unde atacatorul trimite propriile sale răspunsuri de eroare false. Prin urmare, utilizarea răspunsurilor precompilate permite atacuri în care un răspuns vechi, dar valid este reluat înainte de data expirării, dar după revocarea certificatului. [1]

Beneficii

OCSP are unele avantaje față de CRL-uri:

  • Elimină necesitatea ca clienții să descarce și să analizeze listele de revocări.
  • Oferă o utilizare mai bună a lățimii de bandă: deoarece un mesaj OCSP are o dimensiune neglijabilă în comparație cu CRL-urile.
  • Suportă un lanț de încredere de OCSP-uri necesare între diferiții respondenți. Acest lucru permite clienților să comunice cu un respondent de încredere pentru a interoga un alt respondent.
  • OCSP este mai eficient decât CRL-urile și, prin urmare, este mai bun.

Dezavantaje

OCSP are, de asemenea, unele dezavantaje față de CRL-uri:

  • Pentru fiecare revocare este necesar să faceți o cerere către respondent: dacă răspunsul nu este primit într-un termen, OCSP va fi ignorat în tăcere.
  • Fiecare cerere trebuie analizată de respondent ; aceasta implică transmiterea istoricului de navigare către cel care răspunde , introducând o problemă evidentă de confidențialitate .

Suport pentru browser

Majoritatea browserelor importante acceptă OCSP:

  • Internet Explorer este construit pe CryptoAPI al sistemului de operare Windows și, prin urmare, cu versiunea 7 pe Windows Vista (nu XP [2] ) acceptă controlul cu OCSP. [3]
  • Toate versiunile de Mozilla Firefox acceptă OCSP. Firefox 3 permite OCSP în mod implicit. [4]
  • Safari pe MacOS acceptă OCSP. Este activat implicit din Mac OS X 10.7 (Lion). Înainte de aceasta, trebuie să fie activat manual în preferințele brelocului. [5]
  • Versiunile Opera 8.0 [6] [7] și ulterioare acceptă OCSP.

Google Chrome a dezactivat în mod implicit verificările OCSP, o decizie luată de Google în 2012, din cauza latenței și a problemelor de confidențialitate [8] . Google folosește propriul mecanism de actualizare pentru a trimite revocări de certificate către browser. [9]

Notă

  1. ^ (EN) Galperin, Slava, Santesson, Stefan, Myers, Michael, Malpani, Ambarish, Adams, Carlisle, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP , pe tools.ietf.org. Adus la 30 noiembrie 2017 .
  2. ^ ( EN ) Windows XP: Verificarea stării certificatului și verificarea revocării - Articole TechNet - Statele Unite (engleză) - TechNet Wiki , pe social.technet.microsoft.com . Adus la 30 noiembrie 2017 .
  3. ^ (EN) Ce este nou în revocarea certificatelor în Windows Vista și Windows Server 2008 , pe technet.microsoft.com. Adus la 30 noiembrie 2017 .
  4. ^ ( EN ) 110161 - (ocspdefault) activați OCSP în mod implicit , pe bugzilla.mozilla.org . Adus la 30 noiembrie 2017 .
  5. ^ (EN) Utilizatorii Apple au plecat să se apere, certificați împotriva atacurilor , în Naked Security, 26 martie 2011. Accesat la 30 noiembrie 2017.
  6. ^ labs.opera.com , https://web.archive.org/web/20100210031759/http://labs.opera.com/news/2006/11/09/ (arhivată de „ adresa URL originală la 10 februarie 2010) .
  7. ^ (RO) Blogul Opera , Opera News. Adus la 30 noiembrie 2017 .
  8. ^ (RO) Adam Langley, ImperialViolet - Verificarea revocării și CRL-ul Chrome pe www.imperialviolet.org. Adus la 30 noiembrie 2017 .
  9. ^ (RO) Larry Seltzer, Chrome face o revocare mai bună a certificatului | ZDNet , în ZDNet . Adus la 30 noiembrie 2017 .
Informatică Portal IT : accesați intrările Wikipedia care se ocupă cu IT