Online Certificate Status Protocol

Angol

Főnév

Online Certificate Status Protocol (tsz. Online Certificate Status Protocols)

1. (informatika) Az OCSP (Online Certificate Status Protocol) egy hálózati protokoll, amelyet arra használnak, hogy valós időben ellenőrizzék a digitális tanúsítványok érvényességét. Az OCSP segít megelőzni az olyan biztonsági kockázatokat, amelyek akkor merülnek fel, ha egy visszavont vagy lejárt tanúsítványt használnak.

---

Digitális tanúsítványok és érvényességük ellenőrzése

A digitális tanúsítványok az internetes biztonság alapvető elemei, amelyeket általában a TLS/SSL kapcsolatok során alkalmaznak a szerverek hitelesítésére. Ezeket tanúsítványkiadó szervezetek (Certificate Authorities, CA-k) állítják ki.

Fontos azonban, hogy a tanúsítványok érvényességét mindig ellenőrizzük, mert:

• Lehet, hogy a tanúsítványt visszavonták (pl. kompromittálódott kulcs miatt).
• Lehet, hogy lejárt a tanúsítvány érvényességi ideje.
• Egy érvénytelen tanúsítvány elfogadása biztonsági kockázatot jelent.

---

Tanúsítvány státusz ellenőrzési módszerek

CRL – Certificate Revocation List (Tanúsítvány visszavonási lista)

A CA időszakosan közzéteszi a visszavont tanúsítványok listáját, azaz a CRL-t. A kliens (például böngésző) letölti ezt a listát és ellenőrzi, hogy a tanúsítvány szerepel-e rajta.

Hátrányok:

• A CRL mérete nagy lehet, így a letöltése lassú.
• Nem valós idejű, mert a lista csak időközönként frissül.
• Magas hálózati terhelést okozhat nagy forgalmú rendszerekben.

OCSP – Online Certificate Status Protocol

Az OCSP protokoll egy alternatív, hatékonyabb megoldás a tanúsítványok státuszának ellenőrzésére, amely valós idejű lekérdezést tesz lehetővé.

---

OCSP működése

1. Kliens kérés: Amikor egy kliens (pl. böngésző) megnyit egy biztonságos (HTTPS) weboldalt, elküldi az OCSP kérését az OCSP respondernek (szervernek), amely a tanúsítvány kiállítójának egyik szervere.
2. Kliens lekérdezése: A kérés tartalmazza az ellenőrizni kívánt tanúsítvány azonosítóját.
3. OCSP válasz: Az OCSP responder visszaküldi a tanúsítvány státuszát, amely lehet:
   • good (jó): A tanúsítvány érvényes, nincs visszavonva.
   • revoked (visszavont): A tanúsítványt visszavonták, így nem megbízható.
   • unknown (ismeretlen): Nem áll rendelkezésre információ a tanúsítványról.
4. Döntés: A kliens a válasz alapján dönti el, hogy elfogadja-e a tanúsítványt, vagy megszakítja a kapcsolatot.

---

OCSP előnyei

• Valós idejű ellenőrzés: A kliens mindig az aktuális státuszt kapja, nem egy korábbi listából dolgozik.
• Kisebb adatforgalom: Csak az adott tanúsítvány státuszát kérdezi le, nem egy teljes listát.
• Gyorsabb reakció: Csökkenti a weboldal betöltési idejét a CRL-hez képest.
• Rugalmas integráció: Könnyen integrálható különböző rendszerekbe és alkalmazásokba.

---

OCSP responder

Az OCSP responder egy olyan szerver, amely a CA nevében válaszol a státusz lekérdezésekre. A responder biztonságosan hozzáfér a CA által aláírt visszavonási adatokhoz, és hiteles válaszokat ad.

---

OCSP stapling

Az OCSP stapling egy optimalizált megoldás, amelyben a web szerver maga tölti le és “tűzi” be az OCSP választ a TLS kézfogás (handshake) részeként. Ez jelentősen csökkenti a kliens lekérdezéseinek számát és javítja a teljesítményt.

Előnyei:

• Csökkenti a kliens és az OCSP responder közötti hálózati forgalmat.
• Növeli a felhasználói élményt gyorsabb kapcsolatindítással.
• Csökkenti az OCSP responder szerverek terhelését.
• Javítja a magánszférát, mert a kliens nem közvetlenül az OCSP responderhez fordul.

---

Biztonsági szempontok

• Hitelesítés: Az OCSP válaszokat a CA vagy egy megbízott szerver digitálisan aláírja, így biztosítva az adatok sértetlenségét és hitelességét.
• Elérhetőségi problémák: Ha az OCSP responder nem elérhető, a kliens vagy megbízik a tanúsítványban (soft-fail), vagy elutasítja azt (hard-fail). Ez biztonsági és felhasználói élmény szempontból is kompromisszumot jelent.
• Privacy: Az OCSP lekérdezések potenciálisan árulkodhatnak arról, hogy a felhasználó mely weboldalakat látogatja.

---

OCSP a gyakorlatban

• Az OCSP a legtöbb modern böngésző és TLS implementáció által támogatott.
• Sok nagy CA, mint például a DigiCert, Let’s Encrypt, és GlobalSign, működtet OCSP respondereket.
• A HTTPS kapcsolatok során automatikusan történik az ellenőrzés, ha a tanúsítvány tartalmaz OCSP URL-t.

---

Összefoglalás

Az Online Certificate Status Protocol (OCSP) egy fontos protokoll a digitális tanúsítványok érvényességének valós idejű ellenőrzésére az internetes biztonság érdekében. Hatékonyabb és gyorsabb alternatívája a hagyományos CRL alapú visszavonás-ellenőrzésnek, ugyanakkor bevezetése és használata biztonsági, teljesítménybeli és adatvédelmi szempontból is komoly megfontolásokat igényel.

A protokoll kulcsszerepet játszik a TLS/SSL alapú kommunikáció biztonságos működésében, biztosítva, hogy a felhasználók csak érvényes és megbízható tanúsítványokat fogadjanak el.

További információk

• Online Certificate Status Protocol - Szótár.net (en-hu)
• Online Certificate Status Protocol - Sztaki (en-hu)
• Online Certificate Status Protocol - Merriam–Webster
• Online Certificate Status Protocol - Cambridge
• Online Certificate Status Protocol - WordNet
• Online Certificate Status Protocol - Яндекс (en-ru)
• Online Certificate Status Protocol - Google (en-hu)
• Online Certificate Status Protocol - Wikidata
• Online Certificate Status Protocol - Wikipédia (angol)