400-900-6808
登录
当前位置: 首页 > 资讯中心 > SSL证书中的OCSP是做什么用的

SSL证书中的OCSP是做什么用的

SSL证书中的OCSP是做什么用的

SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照,但形式上是一组密钥。在服务器上安装了SSL证书后,服务器与终端之间的数据都是通过此密钥进行加密后传输的,防止数据在传输的过程中被窃取、篡改。安装的SSL证书是有一定的生命周期的,并不是可以无限期的使用下去。一种是SSL证书自然过期后,将无法使用,需要再找 CA 机构签发新的证书;另一种是,因为某些特殊原因在SSL证书过期前,被 CA 机构吊销。但如何判断SSL证书是否在有效期内或是否被吊销呢?这时候 OCSP 就起到了至关重要的作用。

OCSP( Online Certificate Status Protocol )是一种在线证书状态协议,是维护服务器和其它网络资源安全性的两种普遍模式之一。

当访客在访问一个安装有SSL证书的网站时,会通过服务端接口去验证该SSL证书是否过期,由于网络等一些客观原因,每个连接去验证国外的服务器可能会带来一些不可控的用户体验和访问延时,这对于 CA 来说也是一个不小的并发连接。所以 OCSP 一般会被应用到服务端,给客户端节省这部分的时间。服务端周期性的去连接 CA 的 OCSP 服务器,验证一个证书的合法性,存储在本地。当客户端向 OCSP 响应服务器发送一个对于证书状态信息的请求,服务器会回复一个“有效”、“过期”或“未知”的响应。在得到响应后,访客就可以访问相对应的网页了。

OCSP示意图

综上所述,我们可以这样比喻, SSL证书就像是网站的一道安全门,OCSP 则是检验这道安全门是开、是关或是否有效的状态的协议,只有有了这项协议,我们才能知道这道安全门是不是能正常使用。