سرویس برخط استعلام گواهی (OCSP)

سرویس OCSP کوتاه شده عبارت (Online Certificate Status Protocol) يك سرویس كارا جهت پي بردن به وضعيت جاري گواهي كاربر (ابطال يا عدم ابطال گواهي ) می‌باشد. با استفاده از این سرویس نياز به دريافت و بررسي CRL نمی‌باشد. پروتکل OCSP اطلاعاتي كه لازم است بين نرم افزار كاربر (OCSP Client) و سروري كه وضعيت گواهي را گزارش مي‌دهد (OCSP Responder) رد و بدل شود را فراهم مي‌كند. پياده سازي اين پروتكل چه در سمت مراكز صدور گواهي و چه در سمت نرم‌افزارهاي PKE ميبايست منطبق با RFC 2560 و RFC 6277 صورت گيرد.
مخاطبین این سرویس نرم‌افزارهايي هستند كه با گواهي سر و كار دارند این نرم افزارها باید قابلیت کار با کلید عمومی را داشته باشند (PKE Applications).

معمولا گواهی‌های صادر شده توسط مرکز صدور گواهی به دلایل زیر ابطال می‌شوند:
  • افشای کلید خصوصی
  • پایان مدت اعتبار گواهی
  • گم کردن توکن و یا به سرقت رفتن آن
فرض کنید فردی قصد ورود به یک سامانه را دارد در حالی که گواهی او به یکی از دلایل فوق ابطال شده است. برای اینکه سامانه از آخرین وضعیت گواهی مطلع شود و تشخیص دهد که ورود این فرد مجاز است یا خیر، دو راه کار وجود دارد:
  1. دانلود و نصب لیست گواهی های باطل شده (CRL) در بازه های زمانی منظم
  2. بکارگیری سرویس OCSP

مزایای سرویس OCSP

  • عدم نیاز به دانلود مکرر و نصب آخرین CRL انتشار یافته
  • حجم پایین اطلاعات رد و بدل شده
  • عدم نیاز به پردازش اطلاعات در سمت سرویس گیرنده
  • ارائه وضعیت لحظه‌ای گواهی