CSP 装订,正式名称为 TLS 证书状态查询扩展,是一种用于代替在线证书状态协议(OCSP)来查询 X.509 证书状态的技术。以下是关于它的详细介绍:
- 工作原理:服务器在 TLS 握手时会发送事先缓存的 OCSP 响应。这样一来,用户只需验证该响应的有效性,而不用再向数字证书认证机构(CA)发送请求。
- 作用和优势:
- 减轻 CA 服务器压力:在使用在线证书协议时,网站的每个访问者都会进行 OCSP 查询,高并发请求会给 CA 的服务器带来很大压力。OCSP 装订可以避免大量的 OCSP 查询请求发送到 CA 服务器,从而减轻其负担。
- 提高访问速度:由于无需和 CA 建立连接来进行 OCSP 查询,减少了额外的网络延迟,进而提高了浏览器打开页面的速度。
- 保护用户隐私:减少了用户与 CA 服务器之间的直接交互,降低了用户隐私信息泄漏的风险。
- 解决安全性和可用性困境:当 OCSP 查询无法得到响应时,浏览器不必再面临是否在无法确认证书状态的情况下继续连接的艰难选择,一定程度上解决了安全性和可用性二选一的困局。
- 支持情况:许多服务器软件和浏览器都逐渐支持 OCSP 装订。例如,Apache HTTP 服务器自 2.3.3 版本开始支持,Nginx 自 1.3.7 版本支持,Firefox 26 及以上版本、IE 在 Vista 及以上的 Windows 系统、Chrome 在 Linux、Chrome OS 以及 Vista 及以上的 Windows 系统等都支持 OCSP 装订。
- 相关标准:RFC 6066 第 8 章中规定了 TLS 证书状态查询扩展的标准,RFC 6961 定义了多证书状态查询扩展,允许 TLS 握手中发送多个证书的 OCSP 响应,以解决 OCSP 装订同一时间只能发送一个 OCSP 响应,对有中级证书的证书链不够用的问题。
