OCSP裝訂是什么

1. OCSP裝訂概念

OCSP（英語：OCSP Stapling）正式名稱為TLS證書狀態查詢擴展，可代替在線證書狀態協議（OCSP）來查詢X.509證書的狀態。服務器在TLS握手時發送事先緩存的OCSP響應，用戶只需驗證該響應的有效性而不用再向數字證書認證機構（CA）發送請求。

2. 動機

OCSP裝訂解決了在線證書協議中的大多數問題。CA給網站頒發證書之后，網站的每個訪問者都會進行OCSP查詢。因此使用在線證書協議時，高并發的請求會給CA的服務器帶來很大的壓力。同時由于必須和CA建立連接，OCSP查詢還會影響瀏覽器打開頁面的速度并泄漏用戶隱私。此外，當OCSP查詢無法得到響應時，瀏覽器必須選擇是否在無法確認證書狀態的情況下繼續連接，造成安全性和可用性二選一的困局。

3.發展

對OCSP裝訂的支持正在逐步落實。OpenSSL在Mozilla基金會的協助下發布了支持OCSP裝訂的0.9.8g版本。

服務器端的支持情況：

瀏覽器的支持情況：

SMTP方面，Exim在客戶端和服務器端都支持OCSP裝訂。 

4.標準

RFC 6066第8章中規定了TLS證書狀態查詢擴展的標準。

RFC 6961定義了多證書狀態查詢擴展，允許TLS握手中發送多個證書的OCSP響應。 

5.部署

OCSP裝訂支持正在逐步實施。該OpenSSL的項目列入其0.9.8g發布從贈款的援助支持Mozilla基金會。

Apache HTTP服務器支持OCSP裝訂自2.3.3版本，的nginx的，因為1.3.7版本的Web服務器，的Litespeed Web服務器自版本4.2.4，微軟的IIS，因為Windows Server 2008中，HAProxy從版本1.5.0開始，自11.6.0版本開始的F5 NetworksBIG-IP以及從版本7.2.37.1開始的KEMP LoadMasters。

在瀏覽器端，OCSP裝訂在開始實施的Firefox26，在Internet Explorer中，因為Windows Vista中，和谷歌Chrome在Linux中，Chrome操作系統和Windows Vista的以來。

對于SMTP，Exim郵件傳輸代理支持客戶端和服務器模式下的OCSP裝訂。

6.局限性

OCSP裝訂可以降低OCSP驗證的成本，特別針對有很多用戶的大型網站。但是OCSP裝訂在同一時間只能發送一個OCSP響應，對有中級證書的證書鏈來說并不足夠。RFC 6961中提出的多證書狀態查詢擴展解決了這個問題，允許同時發送多個OCSP響應。

7. 意義

在服務器上部署ocsp裝訂，能大大緩解鏈接數與高并發量。省去多次握手操作，使網站訪問速度更快。