Интернеттегі куәлік мәртебесінің хаттамасы - Online Certificate Status Protocol

The Интернеттегі куәлік мәртебесінің хаттамасы (OCSP) болып табылады ғаламтор хаттама қалпына келтіру мәртебесін алу үшін қолданылады X.509 сандық сертификат.[1] Ол сипатталған RFC 6960 және Интернет стандарттары трек. Ол балама ретінде жасалған сертификаттарды қайтарып алу тізімдері (CRL), а-да CRL-ді қолданумен байланысты белгілі бір мәселелерді шешуге арналған жалпыға қол жетімді инфрақұрылым (PKI).[2] OCSP арқылы жіберілген хабарламалар кодталады ASN.1 және әдетте олар туралы хабарланады HTTP. Бұл хабарламалардың «сұранысы / жауабы» OCSP-ге әкеледі серверлер деп аталады OCSP жауап берушілері.

Кейбіреулер веб-шолғыштар растау үшін OCSP қолданыңыз HTTPS сертификаттар.

CRL-мен салыстыру

  • OCSP жауабы әдеттегі сертификатқа қарағанда аз деректерді қамтығандықтан күшін жою тізімі (CRL), бұл желі мен клиент ресурстарына аз салмақ түсіреді.[3]
  • OCSP жауабында мәліметтер аз болғандықтан талдау, клиент жағынан кітапханалар оны басқаратындар CRL-мен жұмыс істейтіндерге қарағанда онша күрделі болмауы мүмкін.[4]
  • OCSP жауап берушіге белгілі бір желі иесі белгілі бір уақытта белгілі бір сертификатты қолданғаны туралы хабарлайды. OCSP шифрлауды міндеттемейді, сондықтан басқа тараптар бұл ақпаратты ұстап қалуы мүмкін.[1]

ПҚИ-ді енгізу

  1. Алиса және Боб бар ашық кілт сертификаттары Карол шығарған куәлік орталығы (CA).
  2. Элис Бобпен транзакция жасағысы келеді және оған ашық кілт сертификатын жібереді.
  3. Боб, Элистің жеке кілтінің бұзылғанына алаңдап, Элис сертификатының сериялық нөмірін қамтитын «OCSP сұранысын» жасайды және оны Кэролға жібереді.
  4. Кэролдың OCSP жауап берушісі Бобтың сұранысынан сертификаттың сериялық нөмірін оқиды. OCSP жауап берушісі Элис сертификатының күшін жою мәртебесін іздеу үшін сертификаттың сериялық нөмірін қолданады. OCSP жауап берушісі Кэрол сақтайтын CA дерекқорына қарайды. Бұл сценарийде Carol's CA дерекқоры - Элис сертификатына ымыраласу жазылатын жалғыз сенімді орын.
  5. Кэролдың OCSP жауап берушісі Элис сертификаты әлі де жақсы екенін растайды және a қайтарады қол қойылған, Бобқа сәтті 'OCSP жауап'.
  6. Боб Кэролдың қол қойған жауабын криптографиялық түрде тексереді. Боб осы транзакциядан біраз бұрын Кэролдың ашық кілтін сақтаған. Боб Кэролдың жауабын тексеру үшін Кэролдың ашық кілтін пайдаланады.
  7. Боб транзакцияны Элиспен аяқтайды.

Хаттама туралы мәліметтер

OCSP жауап берушісі (әдетте сертификат беруші басқаратын сервер) сұрауда көрсетілген сертификаттың «жақсы», «қайтарып алынған» немесе «белгісіз» екендігін білдіретін қол қойылған жауапты қайтара алады. Егер ол сұранысты өңдей алмаса, қате кодын қайтаруы мүмкін.

OCSP сұранысының форматы қосымша кеңейтімдерді қолдайды. Бұл белгілі бір PKI схемасына кең бейімделуге мүмкіндік береді.

OCSP осал болуы мүмкін қайта шабуылдар,[5] егер қол қойылған, «жақсы» жауап зиянды делдалға түсіп, клиентке тақырып сертификаты жойылғаннан кейін кейінірек қайталанса. OCSP а nonce тиісті жауапқа енгізілуі мүмкін сұрауға қосылуға. Жоғары жүктеме болғандықтан, OCSP жауап берушілерінің көпшілігі әр сұраныс үшін әр түрлі жауап жасау үшін nonce кеңейтімін қолданбайды, оның орнына бірнеше күндік әрекет ету мерзімімен тағайындалған жауаптарды қолданады. Осылайша, қайталама шабуыл валидация жүйелеріне үлкен қауіп төндіреді.

OCSP CA-ның бірнеше деңгейін қолдай алады. OCSP сұраулары пәндік сертификатқа сәйкес келетін шығарушы ОА-ны сұрау үшін өзара жауап берушілер арасында тізбектелуі мүмкін, жауап берушілер бір-бірінің жауаптарын өздерінің OCSP сұрауларын қолдана отырып түпнұсқа CA-ға жауап береді.

OCSP жауап берушісі қайтарып алу туралы ақпаратты сұрауы мүмкін өкілетті жолды тексеру (DPV) серверлері. OCSP өзі ұсынылған сертификаттардың кез-келген DPV-ін орындамайды.

Жауапқа қол қоятын кілт сертификатқа қол қойған кілт болмауы керек. Сертификат беруші OCSP жауап берушісі болу үшін басқа өкілеттігін бере алады. Бұл жағдайда жауап берушінің сертификатын (жауапқа қол қою үшін пайдаланылатын) осы сертификаттың эмитенті беруі керек және оны OCSP қол қою органы ретінде белгілейтін белгілі бір кеңейтуді (дәлірек айтқанда, кеңейтілген) қамтуы керек. пернелер тіркесімін кеңейту OID {iso (1) анықталған ұйым (3) dod (6) интернет (1) қауіпсіздік (5) механизмдер (5) pkix (7) кілтМақсат (3) ocspSigning (9)})

Жеке өмірге қатысты мәселелер

OCSP тексеру кейбір пайдаланушылар үшін құпиялылық мәселесін тудырады, өйткені бұл клиенттен сертификаттың жарамдылығын растау үшін үшінші тараппен (клиенттің бағдарламалық жасақтама жеткізушісі сенетін тарап болса да) байланысуын талап етеді. OCSP қапсырмасы бұл CA-ға шолу тәртібін ашпай-ақ жарамдылығын тексеру әдісі.[1]

Сындар

OCSP негізіндегі алып тастау HTTPS серверінің жеке кілтінің ымырасына қарсы әсер ететін тиімді әдіс емес. Сервердің жеке кілтін бұзған шабуылдаушы әдетте a ортадағы адам желідегі жеке кілтті теріс пайдалану және серверге еліктеу позициясы. Мұндай позициядағы шабуылдаушы клиенттің OCSP сұраныстарына кедергі келтіретін жағдайда да болады. Егер клиенттердің көпшілігі сұраныстың уақыты аяқталса, OCSP-ді үнсіз елемейтіндіктен, OCSP HTTPS сервер кілтінің ымырасын азайтудың сенімді құралы емес.[6]

Сертификаттағы MustStaple TLS кеңейтімі сертификатты a арқылы тексеруді талап етуі мүмкін бекітілген OCSP бұл мәселені жеңілдететін жауап.[3] OCSP сонымен бірге шабуылдаушы «ортасында адам» болмайтын жағдайлардан (кодқа қол қою немесе қателікпен берілген куәліктерден) қорғаныс болып қала береді.

OCSP протоколы сұраныс берушінің тиісті OCSP жауап берушісіне қосылу үшін желіге қосылуын қарастырады. Кейбір сұраушылар қосыла алмауы мүмкін, себебі олардың жергілікті желісі Интернетке тікелей қосылуға тыйым салады (деректер орталығындағы ішкі түйіндер үшін әдеттегі тәжірибе). OCSP пайдалану үшін ішкі серверлерді Интернетке қосылуға мәжбүрлеу Периметризация тренд. The OCSP қапсырмасы протокол - бұл серверлерге OCSP жауаптарын кэштеуге мүмкіндік беретін балама, бұл сұраушының OCSP жауап берушісіне тікелей хабарласу қажеттілігін жояды.

Браузерді қолдау

Көптеген ірі браузерлерде OCSP-ке қолдау бар:

  • Internet Explorer негізінде салынған КриптоАПИ туралы Windows және осылайша басталады 7-нұсқа қосулы Windows Vista (жоқ XP[7]) OCSP тексеруді қолдайды.[8]
  • Барлық нұсқалары Mozilla Firefox OCSP тексеруді қолдау. Firefox 3 әдепкі бойынша OCSP тексерісін қосады.[9]
  • Сафари macOS жүйесінде OCSP тексеруді қолдайды. Ол Mac OS X 10.7 (Lion) ретінде әдепкі бойынша қосылады. Бұған дейін оны салпыншақтық қалауымен қолмен қосу керек.[10]
  • Нұсқалары Опера 8.0 бастап[11][12] қолданыстағы нұсқасына OCSP тексеруді қолдайды.

Алайда, Google Chrome аша алады. Google OCSP тексерулерін кешіктіру және құпиялылық мәселелерін ескере отырып, 2012 жылы әдепкі бойынша өшірді[13] және орнына қайтарып алынған сертификаттарды браузерге жіберу үшін өзінің жаңарту механизмін қолданады.[14]

Іске асыру

Бірнеше ашық ақпарат көзі және меншіктік OCSP енгізілімдері бар, соның ішінде толық ұсынылған серверлер және кітапханалар қосымшаларды құру үшін. OCSP клиент қолдау көптеген кіріктірілген операциялық жүйелер, веб-шолғыштар, және басқа да желі бағдарламалық жасақтама арқасында танымал болды HTTPS және Дүниежүзілік өрмек.

Сервер

Ашық ақпарат көзі

  • Боулдер,[15] CA және OCSP жауап берушісі әзірледі және қолданады Шифрлайық (Барыңыз )
  • DogTag,[16] CA, CRL және OCSP жауаптарының бастапқы көзі.
  • EJBCA,[17] CA және OCSP жауап берушісі (Java )
  • OpenXPKI,[18]CA және OCSP кеңейту ретінде OpenXPKI конфигурациясында.
  • XiPKI,[19] CA және OCSP жауап берушісі. Қолдауымен RFC 6960 және SHA3 (Java )

Меншіктік

  • Сертификат қызметі [20] CA және OCSP жауап берушісі кіреді Windows Server

Кітапхана

Ашық ақпарат көзі

Клиент

Қосымша ақпарат: Тасымалдау қабаттарының қауіпсіздігі § Қолдану және қабылдау, және X.509 § X.509 сертификаттарын қолданатын негізгі хаттамалар мен стандарттар

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ а б c А., Джесин (12.06.2014). «OCSP қапсырмасын Apache және Nginx-те қалай теңшеуге болады». Қауымдастық оқулықтары. Digital Ocean, Inc. Алынған 2 наурыз, 2015.
  2. ^ «OCSP қапсырмасы». GlobalSign қолдауы. GMO GlobalSign Inc. 2014 жылғы 1 тамыз. Алынған 2 наурыз, 2015.
  3. ^ а б Гибсон, Стив. «Қауіпсіздік сертификатының күшін жою туралы хабардар болу: жағдай» OCSP міндетті түрде бекітілуі керек"". Гибсон ғылыми-зерттеу корпорациясы. Алынған 2 наурыз, 2015.
  4. ^ Килер, Дэвид (29 шілде, 2013). «Firefox-тағы OCSP қапсырмасы». Mozilla қауіпсіздік блогы. Mozilla қоры. Алынған 2 наурыз, 2015.
  5. ^ RFC 6960, 5 бөлім, Қауіпсіздік мәселелері
  6. ^ «Жоқ, жоюды тексеруді қоспаңыз». 19 сәуір 2014 ж. Алынған 24 сәуір 2014.
  7. ^ «Windows XP сертификатының күйін және күшін жоюды тексеру». Microsoft. Алынған 9 мамыр 2016.
  8. ^ «Windows Vista және Windows Server 2008 жүйелеріндегі сертификаттарды қайтарып алудағы жаңалықтар». Microsoft. Алынған 9 мамыр 2016.
  9. ^ «Mozilla Bug 110161 - әдепкі бойынша OCSP қосыңыз». Mozilla. 1 қазан 2007 ж. Алынған 18 шілде 2010.
  10. ^ Вишневский, Честер (2011 ж. 26 наурыз). «Apple пайдаланушылары сертификаттық шабуылдардан қорғану үшін кетті». Софос. Алынған 26 наурыз 2011.
  11. ^ Pettersen, Yngve Nys Nter (9 қараша 2006). «Кеңейтілген куәліктерді енгізу». Opera бағдарламалық жасақтамасы. Архивтелген түпнұсқа 10 ақпан 2010 ж. Алынған 8 қаңтар 2010.
  12. ^ Pettersen, Yngve Nysæter (3 шілде 2008). «Rootstore жаңалықтары». Opera бағдарламалық жасақтамасы. Алынған 8 қаңтар 2010.
  13. ^ Лэнгли, Адам (5 ақпан 2012). «Жоюды тексеру және Chrome's CRL». Мұрағатталды 2012-02-12 аралығында түпнұсқадан. Алынған 2015-01-30.
  14. ^ «Chrome сертификатты қайтарып алуды жақсырақ жасайды», 21 сәуір 2014 ж., Ларри Сельцер, ZDNet
  15. ^ «Боулдер - ACME CA». GitHub. 16 наурыз 2018 жыл. Алынған 17 наурыз 2018.
  16. ^ «Dogtag сертификат жүйесі». Алынған 12 тамыз 2019.
  17. ^ «EJBCA - PKI сертификатының ашық көзі». PrimeKey. 2 ақпан 2018. Алынған 17 наурыз 2018.
  18. ^ «OpenXPKI жобалық құжаттамасы ^ CRL және OCSP кеңейтімдері». Алынған 12 тамыз 2019.
  19. ^ «XiPKI». GitHub. 13 наурыз 2018 жыл. Алынған 17 наурыз 2018.
  20. ^ «Сертификат қызметі (Windows)». Windows Dev орталығы. Microsoft. 2018. Алынған 17 наурыз 2018.
  21. ^ «Ocsp пакеті». cfssl GoDoc. 25 ақпан 2018. Алынған 17 наурыз 2018.
  22. ^ «OCSP_response_status». шебер басқару. OpenSSL. 2017. Алынған 17 наурыз 2018.
  23. ^ «OCSP in wolfSSL ендірілген SSL - wolfSSL». 2014-01-27. Алынған 2019-01-25.

Сыртқы сілтемелер