OCSP (پروتکل وضعیت آنلاین گواهینامه) چیست؟

OCSP مخفف پروتکل وضعیت آنلاین گواهینامه است که اعتبار یک گواهی SSL را با کمک لیست سفید بررسی می کند.
بصورت کلی دو راه برای بررسی وضعیت گواهی وجود دارد:
CLR   و OCSP

CRL  مخفف  certificate revocation list

 در این پروتکل اعتبار گواهینامه SSL معمولاً با استفاده از  یک لیست از گواهینامه های منقضی شده سنجیده می شود:

لیست سیاه که توسط شرکت صادر کننده ی گواهینامه صادر می شود و کلیه گواهینامه های منقضی شده را لیست می کند.
هر بار که یک وب سایت دارای گواهینامه ی معتبر بازدید می شود ، مرورگر می بایست درخواستی را به CA ارسال کند و به دنبال certificate ای بگردد که مطمعن شود لغو (revoke) نشده باشد که براساس آن CA    وضعیت گواهی سایت را بازگرداند سپس مرورگر بررسی می کند که آیا این گواهی در لیست سیاه وجود دارد یا خیر. در صورتی که در لیست سیاه وجود داشته باشد مرورگر یک پیام خطا به کاربر نشان می دهد.

CRL دارای نقاط ضعفی است:
مرورگر مجبور است با هر بازدید درخواستی را برای CRL ارسال کند ، که باعث ایجاد ترافیک زیادی می شود ، مخصوصاً وقتی وب سایت محبوب و پربازدید است .
اگر CA برای پاسخگویی در دسترس نباشد بنابراین مرورگر CRL را ندارد که بتواند گواهی را بررسی کند و می تواند به اشتباه تصور کند که گواهی معتبر است. بنابراین بسیار مهم است که CA بتواند  CRL را همیشه به روز نگه دارد.

OCSP مخفف Online Certificate Status Protocol

OCSP هم اکنون به عنوان جایگزین  CRL بکار می رود و به جای لیست سیاه ، با لیست سفید کار می کند.

وقتی کاربری درخواستی برای دسترسی به سایت روی سرور ارسال می کند OCSP درخواستی  برای آگاهی از وضعیت گواهی ها می فرستد
سپس سرور نیز پاسخی مبنی بر اینکه ” معتبر” یا ” منقضی شده ” است، ارسال می کند.

در واقع پروتکل OCSP این هماهنگی را برای ارتباط بین سرور که شامل وضعیت گواهی و درخواست مشتری که شامل آگاهی از وضعیت گواهی است را، مشخص می نماید

مزایای OCSP

• عدم نیاز به دانلود پی در پی و نصب آخرین CRL انتشار یافته
• حجم اطلاعات رد و بدل شده کمتر است

پاسخ OCSP اطلاعات کمتری نسبت به CRL ارائه می کند به همین علت حجم کمتری را روی شبکه فراخوانی می کند.

• نیاز به پردازش اطلاعات در سمت سرویس گیرنده نیست
• ارائه وضعیت گواهی بصورت لحظه ای