A hitelesítési, aláírási vagy titkosítási műveletek végrehajtása előtt az X.509 szabványú tanúsítványokat használó legtöbb alkalmazásnak ellenőriznie kell a tanúsítványok állapotát. A tanúsítvány érvényességének és visszavonásának ellenőrzése érinti a tanúsítványláncban található összes tanúsítványt, beleértve a főtanúsítványt is. Ha a fő- vagy bármely másik tanúsítvány érvénytelen, a láncban alatta található tanúsítványok is érvénytelenek.
Az érvényesítés az alábbiakat tartalmazza:
-
Minden tanúsítvány-aláírás érvényes.
-
Az aktuális dátum és időpont minden tanúsítvány érvényességi időtartamán belül van.
-
Egyik tanúsítvány sem sérült vagy helytelenül formázott.
Emellett a rendszer ellenőrzi a tanúsítványlánc összes tanúsítványának a visszavonási állapotát. A visszavonás ellenőrzése a visszavont tanúsítványok listája (CRL) vagy OCSP-válasz segítségével hajtható végre.
Mi az OCSP?
A Microsoft Online válaszadó telepíti az OCSP protokollt, amely lehetővé teszi, hogy egy tanúsítvány címzettje HTTP használatával a tanúsítványok állapotára vonatkozó kérelmet küldjön egy OCSP-válaszadónak. Az OCSP-válaszadó a tanúsítvány állapotát jelző, meghatározó, digitálisan aláírt választ küld. A kérelmenként beolvasott adatmennyiség a hitelesítésszolgáltatónál visszavont tanúsítványok számától függetlenül állandó.
További információk az X.509 nyilvános kulcsú infrastruktúra OCSP protokolljáról a 2560-as számú RFC-dokumentumban olvashatók:
Online válaszadó
A Microsoft OCSP-implementációja - az online válaszadó - ügyfél- és kiszolgálói összetevőkből áll. Az ügyfélösszetevő a CryptoAPI 2.0 könyvtárába van beépítve, míg a kiszolgálói összetevő az Active Directory tanúsítványszolgáltatások (AD CS) kiszolgálói szerepkör által biztosított új szolgáltatás. Az alábbi eljárás az ügyfél- és a kiszolgálói összetevők együttműködését ismerteti:
-
Amikor egy alkalmazás megkísérli az OCSP-válaszadók helyét megadó tanúsítvány ellenőrzését, az ügyfélösszetevő először a helyi memóriában és a lemezgyorsítótárakban keresi az aktuális visszavonási adatokat tartalmazó gyorsítótárazott OCSP-választ.
-
Ha nem talál elfogadható gyorsítótárazott választ, a rendszer a HTTP protokoll használatával kérelmet küld az online válaszadóhoz.
-
Az online válaszadó webproxyja visszafejti és ellenőrzi a kérelmet. Ha a kérelem érvényes, a rendszer a webproxy gyorsítótárában ellenőrzi a kérelem kitöltéséhez szükséges visszavonási adatokat. Ha az aktuális információk nem találhatók a gyorsítótárban, a rendszer az Online válaszadó szolgáltatáshoz továbbítja a kérelmet.
-
Az Online válaszadó szolgáltatás fogadja a kérelmet, és ellenőrzi a helyi visszavonási listát (ha van) és a hitelesítészolgáltató által kiállított legújabb lista gyorsítótárazott példányát.
-
Ha a tanúsítvány nem jelenik meg a helyi vagy a gyorsítótárazott visszavonási listákban, a visszavonás-szolgáltató a tanúsítvány állapotának ellenőrzéséhez a visszavonási konfigurációban felsorolt helyekről beszerez egy frissített hitelesítésszolgáltatói visszavonási listát (ha elérhető). A szolgáltató a tanúsítvány állapotát elküldi az Online válaszadó szolgáltatáshoz.
-
A webproxy ekkor viszafejti, és az ügyfélnek küldi a választ, amelyben értesíti arról, hogy a tanúsítvány érvényes. A válasz egy példányát korlátozott ideig a gyorsítótárban is elhelyezi arra az esetre, ha a tanúsítvány állapotára vonatkozó további kérelmek érkeznének.