OCSP数据包的内容?

时间:2015-08-10 07:17:45

标签: ssl https certificate ssl-certificate digital-signature

据我所知,Web浏览器使用OCSP数据包来检查传入证书(来自Web服务器)是否仍然有效或是否已被撤销。

我对此有一些疑问:

1-我对OCSP是对的吗?

2-浏览器是否为每个传入证书发送OCSP请求?

3-这些请求的目的地在哪里?根CA?

好吧,我使用Wireshark监控网络适配器上的数据传输,并收到以下请求:

点击放大

[enter image description here] 1

嗯,上面的观察还为上述问题增加了3个问题:

4-我为目的地IP做了一个whois IP,结果显示它是a23-51-123-27.deploy.static.akamaitechnologies.com。它真的是根CA吗?

5-此请求以plain格式发送,未使用SSL协议加密!为什么?它不能简单地攻击MITM攻击吗?

6-此数据包仅包含 issuerNameHash issuerKeyHash serialNumber !他们真的够吗?!为什么要发送散列值?

1 个答案:

答案 0 :(得分:3)

需要回答很多问题。

  1. 只有在浏览器设置中设置(为此)时,Web浏览器才会检查OCSP响应者是否有证书吊销信息,并且只有在要验证的证书中有OCSP的URL时才会检查。
  2. 首先建立证书链。链中的每个证书(不包括证书存储中可信任的根,或不是:))将由OCSP验证(如果符合条件符合" 1")。
  3. 每个证书都不是RootCA。链中的每个证书都可以包含OCSP服务器的URL。 OCSP服务器证书必须由其正在工作的CA颁发,因此每个CA将具有(可能具有,它不是强制服务)其专用OCSP服务器。 OCSP请求将根据要验证的证书的URL转到相应的OCSP服务器。
  4. 我不知道那个网址是什么。但根据转储,有一个OCSP服务器运行在IP 23.51.123.27。
  5. 因为这是OCSP的工作方式:)。请求中只有公共信息,因此无需加密。响应由颁发验证证书的同一CA颁发的OCSP服务器签署。客户端可以轻松验证响应未被篡改(签名chech)并且它是由有效的OCSP响应者发出的 - 再次没有加密。请阅读RFC 6960以获取更多信息。
  6. 是的,这是足够的信息。证书由序列号和发行者标识。 OCSP响应程序为颁发其证书的CA提供服务,以便OCSP服务器可以验证请求是否有效(相同的颁发者)。 OCSP服务器可以(但只是OCSP协议的扩展,而不是广泛使用的AFAIK)发回验证证书的指纹。这是对OCSP服务器了解证书的确认。
相关问题
最新问题