1. OCSP裝訂概念

創(chuàng)新互聯(lián)是專業(yè)的嘉黎網(wǎng)站建設公司，嘉黎接單;提供網(wǎng)站設計、網(wǎng)站建設,網(wǎng)頁設計,網(wǎng)站設計,建網(wǎng)站,PHP網(wǎng)站建設等專業(yè)做網(wǎng)站服務;采用PHP框架,可快速的進行嘉黎網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

OCSP（英語：OCSP Stapling）正式名稱為TLS證書狀態(tài)查詢擴展，可代替在線證書狀態(tài)協(xié)議（OCSP）來查詢X.509證書的狀態(tài)。服務器在TLS握手時發(fā)送事先緩存的OCSP響應，用戶只需驗證該響應的有效性而不用再向數(shù)字證書認證機構(gòu)（CA）發(fā)送請求。

2. 動機

OCSP裝訂解決了在線證書協(xié)議中的大多數(shù)問題。CA給網(wǎng)站頒發(fā)證書之后，網(wǎng)站的每個訪問者都會進行OCSP查詢。因此使用在線證書協(xié)議時，高并發(fā)的請求會給CA的服務器帶來很大的壓力。同時由于必須和CA建立連接，OCSP查詢還會影響瀏覽器打開頁面的速度并泄漏用戶隱私。此外，當OCSP查詢無法得到響應時，瀏覽器必須選擇是否在無法確認證書狀態(tài)的情況下繼續(xù)連接，造成安全性和可用性二選一的困局。

3.發(fā)展

對OCSP裝訂的支持正在逐步落實。OpenSSL在Mozilla基金會的協(xié)助下發(fā)布了支持OCSP裝訂的0.9.8g版本。

服務器端的支持情況：

瀏覽器的支持情況：

SMTP方面，Exim在客戶端和服務器端都支持OCSP裝訂。

 

4.標準

RFC 6066第8章中規(guī)定了TLS證書狀態(tài)查詢擴展的標準。

RFC 6961定義了多證書狀態(tài)查詢擴展，允許TLS握手中發(fā)送多個證書的OCSP響應。

5.部署

OCSP裝訂支持正在逐步實施。該OpenSSL的項目列入其0.9.8g發(fā)布從贈款的援助支持Mozilla基金會。

Apache HTTP服務器支持OCSP裝訂自2.3.3版本，的nginx的，因為1.3.7版本的Web服務器，的Litespeed Web服務器自版本4.2.4，微軟的IIS，因為Windows Server 2008中，HAProxy從版本1.5.0開始，自11.6.0版本開始的F5 NetworksBIG-IP以及從版本7.2.37.1開始的KEMP LoadMasters。

在瀏覽器端，OCSP裝訂在開始實施的Firefox26，在Internet Explorer中，因為Windows Vista中，和谷歌Chrome在Linux中，Chrome操作系統(tǒng)和Windows Vista的以來。

對于SMTP，Exim郵件傳輸代理支持客戶端和服務器模式下的OCSP裝訂。

6.局限性

OCSP裝訂可以降低OCSP驗證的成本，特別針對有很多用戶的大型網(wǎng)站。但是OCSP裝訂在同一時間只能發(fā)送一個OCSP響應，對有中級證書的證書鏈來說并不足夠。RFC 6961中提出的多證書狀態(tài)查詢擴展解決了這個問題，允許同時發(fā)送多個OCSP響應。

7. 意義

在服務器上部署ocsp裝訂，能大大緩解鏈接數(shù)與高并發(fā)量。省去多次握手操作，使網(wǎng)站訪問速度更快。

本文標題：OCSP裝訂是什么-創(chuàng)新互聯(lián)
URL分享：http://www.yijiale78.com/article22/cdjhjc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供微信小程序、網(wǎng)站策劃、虛擬主機、企業(yè)建站、網(wǎng)站改版、網(wǎng)站設計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)