Online Certificate Status Protocol

Da Wikipedia, l'enciclopedia libera.

Online Certificate Status Protocol (OCSP) è un protocollo che permette di verificare la validità di un certificato senza ricorrere alle liste di revoca dei certificati. Fa parte dello standard X.509 e viene descritto in RFC 2560.

Funzionalità[modifica | modifica sorgente]

L'Online Certificate Status Protocol è lo standard emergente dell'IETF (Internet Engineering Task Force) destinato al controllo della validità dei certificati digitali nel corso di una determinata transazione. OCSP permette invece di condurre queste verifiche in tempo reale, risparmiando tempo e denaro, e fornendo alle attività di e-business un sistema più rapido, semplice e affidabile per la validazione dei certificati digitali rispetto a quello offerto dal tradizionale scaricamento ed elaborazione delle Certificate Revocation Lists (CRL).

Architettura[modifica | modifica sorgente]

L'architettura del protocollo è di tipo client server, da un lato abbiamo i vari client che effettuano una richiesta (OCSP request) per controllare la validità del certificato, mentre dall'altra parte abbiamo il server (responder) che cerca di soddisfare tutte le richieste inviando messaggi di validità (valido, revocato o sconosciuto).

Vantaggi[modifica | modifica sorgente]

OCSP ha alcuni vantaggi rispetto alle CRL:

  • Elimina la necessità per i client di scaricare e analizzare le liste di revoca.
  • Provvede ad un migliore utilizzo della banda: dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL.
  • Supporta una catena fidata di OCSP richiesta tra i vari responder. Questo permette ai clienti di comunicare con un responder fidato per interrogare un altro responder.
  • OCSP è più efficiente delle CRL e quindi scala in modo migliore.