OCSP协议

重新检视了wireshark 的流量,发现了一些到ocsp.digicert.com流量。(还有ocsp.verisign.com, ocsp.thawte.com)

这些流量的协议为OCSP协议。

然后百度OCSP协议,OCSP(Online Certificate Status Protocol,在线证书状态协议)是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP克服了证书注销列表(CRL)的主要缺陷:必须经常 在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未 知”的响应。协议规定了服务器和客户端应用程序的通讯语法。

我估计因为没有考虑到这个协议,所以我的请求失败。需要进一步了解这个协议。

进一步了解的结果是:OCSP只是一个在线检查证书是否被撤销的服务。客户端接收到服务器证书后,通过OCSP服务检查这个证书是否有效,因此并不会影响客户端和服务器之间的通信。这篇文章对这个协议有详细的说明

另外一个潜在的需要解决的问题是,不可否认性。在客户端没有证书的情况下,如何让客户的下单具有不可否认性。因为客户端没有数字证书,服务器完全可以模拟客户端下单行为,因此客户端的不可否认性现在并没有解决。



本文地址: http://www.bagualu.net/wordpress/archives/3560 转载请注明




发表评论

电子邮件地址不会被公开。 必填项已用*标注