コンテンツにスキップ

Online Certificate Status Protocol

Xuất điển: フリー bách khoa sự điển 『ウィキペディア ( Wikipedia ) 』

Online Certificate Status Protocol(OCSP) は,X.509Công khai kiện chứng minh thưの thất hiệu trạng thái を thủ đắc するためのThông tín プロトコルである.RFC6960で quy định されており,インターネット tiêu chuẩnトラック thượng にある.Chứng minh thư thất hiệu リスト(CRL) の đại thế として sách định されたもので, CRLをCông khai kiện cơ bàn(PKI) で sử う tế の vấn đề に đối ứng している. OCSP のメッセージはASN.1で phù hào hóa されており, chủ にHTTPを sử ってやり thủ りされる. Yếu cầu / ứng đáp hình メッセージであることから, OCSPのサーバを “OCSPレスポンダ” と hô ぶ.

CRL との bỉ giác[Biên tập]

  • OCSP ứng đáp は điển hình đích なCRLよりも tình báo が thiếu ないため, OCSPは chứng minh thư の thất hiệu trạng thái をよりタイムリーに đề cung できる. しかし,クライアントが ứng đáp をキャッシュしないと, yếu cầu hồi sổ の tăng đại によって lợi điểm が sinh かせなくなる khả năng tính がある.
  • OCSPを sử えば, クライアントがCRLをCấu văn giải tíchする tất yếu がなくなり, クライアント trắc の phục tạp さが đê giảm される. しかし, これもキャッシュを bảo trì する tất yếu tính によって tương sát される. Thật tế には, X.509 quan liên の cơ năng をアプリケーションが độc tự に thật trang することは diệt đa になく, サードパーティ chếライブラリを sử うため, このような khảo lự はあまり ý vị がない.
  • CRL はクレジットカードHội xã の “Ác chất cố khách リスト” のようなものと khảo えられるかもしれない. つまり, tri らせる tất yếu のない tình báo まで công khai しているとも khảo えられる.
  • OCSPは đặc định のネットワークホストが đặc định の thời gian に đặc định の chứng minh thư を sử っただろうことをレスポンダに minh らかにする. OCSPは ám hào hóa を cường chế していないので, この tình báo は đệ tam giả に hoành thủ りされるかもしれない.

Cơ bổn đích なPKI thật trang[Biên tập]

  1. アリスとボブは,Nhận chứng cục(CA) であるイバンの phát hành したCông khai kiện chứng minh thưを trì っている.
  2. アリスはボブと thủ dẫn したいので, bỉ に tự thân の công khai kiện chứng minh thư を tống る.
  3. ボブはアリスの bí mật kiện が thất hiệu していないかを xác nhận するため, アリスの công khai kiện のメッセージダイジェストを hàm むOCSP yếu cầu を tác thành し, イバンに tống る.
  4. OCSPレスポンダであるイバンはアリスの chứng minh thư の thất hiệu trạng thái をCAデータベースで tham chiếu する. アリスの bí mật kiện が thất hiệu しているかどうかについて tín lại できる ký lục があるのは, CAデータベースだけである.
  5. イバンはアリスの chứng minh thư の hữu hiệu tính を xác nhận すると,デジタル thự danhPhó きのOCSP ứng đáp をボブに phản す.
  6. ボブは ứng đáp の thự danh を kiểm chứng し ( ボブはイバンの công khai kiện を trì っており, イバンは tín lại できるレスポンダである ), それが tối tân のものであることを xác nhận する.
  7. ボブはアリスとの thủ dẫn を thật hành する.

プロトコルの tường tế[Biên tập]

OCSPレスポンダは yếu cầu の trung で chỉ định された chứng minh thư について “Hữu hiệu”, “Thất hiệu”, “Bất minh” のいずれかの ứng đáp を thự danh phó きで phản す. Yếu cầu を処 lý できない tràng hợp は, エラーコードを phản すこともある.

OCSP yếu cầu のフォーマットには phó gia đích な拡 trương がある. これにより, đặc định のPKI phương thức にカスタマイズすることが khả năng である.

OCSPはPhản xạ công kíchに đối して nại tính がある. Thự danh された “Hữu hiệu” な ứng đáp を ác ý ある đệ tam giả が hoành thủ りした tràng hợp, その chứng minh thư が thất hiệu になった hậu でクライアントに đối してそれを sử う công kích である. OCSPでは,Nonce( sử い xá ての sổ tự ) を yếu cầu に hàm め, đối ứng する ứng đáp に đồng じものを hàm めなければならないとすることで đối 処している.

しかし, phản xạ công kích は1つの khả năng tính ではあるが, nhận chứng システムでは chủ yếu な hiếp uy ではない. これはその thúy nhược tính を lợi dụng した công kích の thủ thuận に khởi nhân する. Công kích giả は dĩ hạ のことをしなければならない.

  1. トラフィックを giam thị して, その hậu にそのトラフィックに ứng đáp する.
  2. Chứng minh thư の trạng thái を giam thị して, それが変 canh されたことを xác nhận する.
  3. Ứng đáp の thỏa đương な thời gian nội に chứng minh thư の trạng thái を yếu cầu するトランザクションを thật thi する.

Thất hiệu した chứng minh thư が hữu hiệu になることは diệt đa にないので ( đình chỉ されているだけならば khả năng tính はある ), công kích giả は hữu hiệu な ứng đáp を tróc え, chứng minh thư が thất hiệu するのを đãi ち, それを sử う tất yếu がある.

OCSPは phục sổ レベルのCAをサポートできる. OCSP yếu cầu をレスポンダ gian で liên tỏa させ, phát hành nguyên のCAがその chứng minh thư を phát hành するのに thích thiết かどうかを điều べることができる. レスポンダは tự thân のOCSP yếu cầu を sử ってルートCAに đối して tương hỗ の thỏa đương tính を bảo chứng する.

OCSPレスポンダは,Delegated Path Validation(DPV) サーバから thất hiệu tình báo を yếu cầu されることがある. OCSP tự thân は cung cấp された chứng minh thư についてDPVを thật hành することはない.

ブラウザでのサポート trạng huống[Biên tập]

  • Internet Explorerは, Windows Vista ( XPではない ) thượng のInternet Explorer 7で OCSP チェックのサポートを khai thủy した.
  • Firefoxは toàn バージョンで OCSP チェックをサポートしている. Firefox 3 では kí định でチェックが hữu hiệu となる.
  • Mac OS X thượng の Safari は OCSP チェックをサポートしている.
  • Opera の tối tân[いつ?]Bản は OCSP チェックをサポートしている.
  • Google Chromeは đãi ち thời gian やプライバシーの vấn đề を lý do に, 2012 niên に OCSP チェックをデフォルトでは vô hiệu にした[1][2].ただし,OCSP stapling(Anh ngữ bản)は dẫn き続き hữu hiệu である[3].

Cước chú[Biên tập]

  1. ^https://www.imperialviolet.org/2012/02/05/crlsets.html
  2. ^Google Chrome, SSL chứng minh thư のオンライン thất hiệu チェックを vô hiệu に”.ITmedia(2012 niên 2 nguyệt 9 nhật ).2020 niên 12 nguyệt 4 nhậtDuyệt lãm.
  3. ^Issue 361230: SSL Certificate Revocation not enabled by default”( anh ngữ ) (2014 niên 4 nguyệt 11 nhật ).2020 niên 12 nguyệt 4 nhậtDuyệt lãm. “If you mean OCSP stapling, then Chrome always enables OCSP stapling on platforms that support it. (Windows, Linux, ChromeOS)”

Ngoại bộ リンク[Biên tập]

プロトコル
Kỹ thuật
Lịch sử
Thật trang
Công chứng
Thúy nhược tính
Lý luận
Ám hào
プロトコル
Thật trang
https://ja.wikipedia.org/w/index.php?title=Online_Certificate_Status_Protocol&oldid=97836914”から thủ đắc