OCSP：在线证书状态协议详解

OCSP（Online Certificate Status Protocol，在线证书状态协议）是一种用于实时验证数字证书是否被撤销的网络安全协议。它在 SSL/TLS 加密通信中扮演关键角色，帮助客户端（如浏览器）确认服务器证书的有效性，防止用户访问使用已被吊销证书的网站。

传统CRL与OCSP的对比

在过去，客户端依赖 Certificate Revocation List（CRL，证书吊销列表） 来检查证书状态。但 CRL 存在明显缺陷：

• 体积庞大：包含所有被吊销证书的序列号，下载耗时。
• 更新延迟：通常每隔数小时或数天更新一次，无法反映即时状态。

相比之下，OCSP 提供了更高效、实时的查询机制。

OCSP 工作原理

1. 证书嵌入 OCSP 地址：SSL/TLS 证书中包含一个指向 CA 的 OCSP Responder 的 URL。
2. 客户端发起查询：浏览器在建立安全连接时，向该 URL 发送请求，附带待验证证书的序列号。
3. CA 返回响应：OCSP 服务器返回签名的响应，状态包括：
   • Good：证书有效
   • Revoked：证书已撤销
   • Unknown：未知状态
4. 客户端决策：根据响应结果决定是否继续建立安全连接。

国内OCSP的优势

对于部署在中国境内的网站，使用由国内CA提供的OCSP服务具有显著优势：

OCSP Stapling（OCSP装订）：性能优化关键技术

为解决传统OCSP带来的客户端隐私泄露和性能损耗问题，OCSP Stapling 技术被广泛采用。

工作流程

1. 服务器主动查询：Web服务器定期向CA获取自身证书的OCSP响应并缓存。
2. 握手时“装订”响应：在TLS握手过程中，服务器将缓存的OCSP响应一并发送给客户端。
3. 客户端直接验证：客户端无需再连接CA的OCSP服务器，直接验证响应签名即可。

核心优势

• 提升访问速度：减少一次往返网络请求，尤其利于国际用户访问国内站点。
• 保护用户隐私：CA无法得知具体哪些用户访问了该网站。
• 增强可靠性：即使CA的OCSP服务器短暂不可用，网站仍可正常完成验证。

主流Web服务器（如Nginx、Apache）均支持配置OCSP Stapling，建议网站管理员启用此功能以优化HTTPS性能。

相关推荐产品

以下是国内支持OCSP服务且具备良好本地化体验的SSL证书产品，适用于不同场景需求：

参考资料

1. 什么是OCSP、国内OCSP有什么好处？
2. 锐安信（sslTrus）SSL证书介绍
3. SSL证书验证指南【域控制验证(DCV)】