OCSP er en Internett-protokoll som brukes til å kontrollere gyldigheten av et TLS digitalt sertifikat i sanntid med myndigheten som utstedte sertifikatet. Den OCSP stifting (i engelsk : OCSP stifting ), hvis tekniske navnet er forlengelse av statssertifikatforespørsel TLS ( TLS Certificate Status Request Extension ) er en alternativ tilnærming til protokoll OCSP å kontrollere opphevelsesstatusen til 'et X.509 digitalt sertifikat . Det tillater innehaveren av et sertifikat å bære kostnadene for å verifisere sistnevnte ved å gi et OCSP-svar tidsstemplet og signert av sertifiseringsmyndigheten (CA), festet (stiftet) til den første TLS-sentralen , slik at besparelser kan gjøres. TLS-klienten for verifisering med CA.
OCSP-stifting prøver å løse problemene med den opprinnelige OCSP-protokollen. OCSP utgjør en betydelig belastning for CA-er fordi de må svare på hver CA-klient i sanntid. Hvis sertifikatet utstedes for et høyt trafikksted, vil CA-serverne motta et stort volum OCSP-forespørsler som ber om å bekrefte gyldigheten av sertifikatet.
OCSP-verifisering kan også påvirke hastigheten og personvernet til brukerens nettleseropplevelse, siden det krever at nettleseren kontakter en tredjepart (CA) for å bekrefte gyldigheten til hvert sertifikat du opplever. Til slutt, hvis klienten ikke kan koble seg til CA for OCSP-validering, må han velge mellom to alternativer, hvor ingen av dem er ønskelige. Klienten kan enten velge å fortsette å koble til, gjøre OCSP ubrukelig, eller velge å avslutte forbindelsen, og tro at de har å gjøre med et angrep, men dette reduserer brukervennligheten og kan resultere i mange låsinger på grunn av falske positive.
OCSP stifting løser disse problemene med en metode som ligner på Kerberos Tickets . Sertifikatinnehaveren måler selv OCSP-serveren med jevne mellomrom, og får et OCSP-svar som representerer et digitalt signert tidsstempel . Når besøkende på nettstedet prøver å koble seg til det, er dette OCSP-svaret inkludert (derav begrepet "stifting") i TLS-svaret (hvis klienten støtter denne utvidelsen til TLS, kalt Certificate Status Request, og signalene i ClientHello-forespørselen) . Det kan virke rart at serveren selv gir bevis på gyldigheten til sertifikatet, men dette OCSP-beviset må signeres og tidsstemples av sertifiseringsmyndigheten, serveren kan ikke gi et falskt svar. Hvis klienten ikke mottar OCSP-svaret fra serveren, kan den bekrefte det selv. Imidlertid, hvis klienten mottar et ugyldig OCSP-svar fra serveren, kan den umiddelbart avslutte tilkoblingen. Den eneste risikoen for stifting av OCSP er at varsel om tilbakekall av sertifikat kan bli forsinket til utløpsdatoen for siste OCSP-svar.
Konsekvensen av stifting av OCSP er at klienten kan forsikre seg om at sertifikatet som serveren presenterer er gyldig (eller nylig), men ikke lenger trenger å sjekke selve OCSP-serveren. Nettverksaktivitetsoverbelastningen flyttes derfor til eieren av sertifikatet, som ganske enkelt kan sjekke status hos myndigheten sjeldnere. Det betyr også at kunden ikke lenger avslører sine surfevaner for en tredjepart.
Tilgangshastigheten til nettsteder forbedres også takket være OCSP-stifting: når klienten får OCSP-svaret direkte fra myndigheten, innebærer dette å løse myndighetens adresse i DNS, og etablere en ekstra forbindelse til den før du avslutter forbindelsen med server. Når OCSP-stifting brukes, blir klientens oppdaterte serversertifikatstatus gitt før den krypterte kanalen er etablert, noe som reduserer nettverksomkostninger og øker hastigheten på tilgang til ressurser.
TLS Certificate Status Request- utvidelsen er spesifisert i RFC 6066, avsnitt 8.
Den RFC 6961 legger en forlengelse Multiple Certificate Status Request , som gjør at serveren kan sende flere OCSP-svar i samme håndfull TLS hånd.
Et utkast foreslått som et tilleggsfelt til X509v3, utløper i April 2013, spesifiserer at en server som presenterer et sertifikat som inneholder denne utvidelsen, må returnere et gyldig OCSP-svar i svaret hvis status_forespørsel-utvidelsen blir bedt om av klienten. Den nåværende versjonen av dette forslaget er utvidet til å håndtere andre utvidelser til TLS. Adam Langley, en av utviklerne av TLS, diskuterte denne utvidelsen iapril 2014etter en artikkel om hvordan du løser Heartbleed- feilen i OpenSSL.
OCSP-stifting ble implementert gradvis. OpenSSL- prosjektet støtter stifting siden versjonen 0.9.8g takket være støtten fra Mozilla Foundation .
Apache- serveren administrerer OCSP-stifting siden versjon 2.3.3, nginx- serveren siden versjon 1.3.7 LiteSpeed Web Server siden 4.2.4, Microsoft IIS siden Windows Server 2008, HAProxy siden 1.5.0, og maskinene F5 Networks BIG- IP siden versjon 11.6.0.
På nettlesersiden er OCSP-stifting implementert i versjon 26 av Firefox , i Internet Explorer siden Windows Vista , i Google Chrome under Linux og Chrome OS .
Exim SMTP-serveren administrerer OCSP-stifting i klient- og servermodus.
OCSP-stifting ble designet for å redusere kostnadene for OCSP-validering (både for CA OCSP-klienten og serveren) spesielt for store nettsteder som betjener mange brukere. Imidlertid kan OCSP-stifting bare håndtere ett OCSP-svar om gangen, noe som er utilstrekkelig for kjedede sertifikater, inkludert en mellomliggende myndighet.
Denne begrensningen er adressert av utvidelsen Multiple Certificate Status Request , spesifisert i RFC 6961, som legger til støtte for flere OCSP-svar.
Denne teknikken er, som sertifikat tilbakekallingslister, i stand til å spore brukerhandlinger.