OCSP数据包的内容?
Contents of OCSP packets?
据我所知,Web 浏览器使用 OCSP 数据包来检查传入证书(来自 Web 服务器)是否仍然有效或是否已被吊销。
我对此有一些疑问:
1- 我对 OCSP 的看法是否正确?
2- 浏览器是否为每个传入的证书发送 OCSP 请求?
3- 这些请求的目的地在哪里?根 CA?
好吧,我使用 Wireshark 监控我的网络适配器上的数据传输,我捕获了以下请求:
点击放大
[]1
嗯,上面的观察在上面的问题上又增加了3个问题:
4- 我对目标 IP 进行了 whois IP,结果显示它是 a23-51-123-27.deploy.static.akamaitechnologies.com 。它真的是根 CA 吗?
5- 此请求以明文形式发送,未使用 SSL 协议加密!为什么?不能简单的用中间人攻击来攻击吗?
6- 此数据包仅包含 issuerNameHash、issuerKeyHash 和 serialNumber!他们真的够了吗?!为什么发送散列值?
要回答的问题太多了。
- Web 浏览器将检查 OCSP 响应器以获取证书吊销信息,只有在浏览器设置中设置(这样做)并且证书中有 URL OCSP 才能验证。
- 首先建立证书链。链中的每个证书(不包括在您的证书存储中受信任的根证书,或不:))将由 OCSP 验证(如果满足“1”中的条件)。
- 并不是每个证书都需要 RootCA。链中的每个证书都可以包含 url 到 OCSP 服务器。 OCSP 服务器证书必须由其工作的 CA 颁发,因此每个 CA 都将拥有(可能拥有,这不是强制性服务)其专用的 OCSP 服务器。 OCSP 请求将根据来自正在验证的证书的 url 转到相应的 OCSP 服务器。
- 我不知道 url 是什么。但是根据转储,IP 23.51.123.27 有一个 OCSP 服务器 运行。
- 因为那是 OCSP 的工作方式:)。请求中只有 public 信息,因此不需要加密。响应由颁发经过验证的证书的同一 CA 颁发的 OCSP 服务器签名。客户端可以很容易地验证响应没有被篡改(签名检查)并且它是由有效的 OCSP 响应者发出的——同样没有加密。阅读 RFC 6960 了解更多信息。
- 是的,信息足够了。证书由序列号和颁发者标识。 OCSP 响应器为颁发其证书的 CA 提供服务,以便 OCSP 服务器可以验证请求是否有效(同一颁发者)。 OCSP 服务器可以(但它只是 OCSP 协议的扩展,并未广泛使用 AFAIK)发回已验证证书的指纹。这是OCSP服务器知道证书的确认。
据我所知,Web 浏览器使用 OCSP 数据包来检查传入证书(来自 Web 服务器)是否仍然有效或是否已被吊销。
我对此有一些疑问:
1- 我对 OCSP 的看法是否正确?
2- 浏览器是否为每个传入的证书发送 OCSP 请求?
3- 这些请求的目的地在哪里?根 CA?
好吧,我使用 Wireshark 监控我的网络适配器上的数据传输,我捕获了以下请求:
点击放大
[
嗯,上面的观察在上面的问题上又增加了3个问题:
4- 我对目标 IP 进行了 whois IP,结果显示它是 a23-51-123-27.deploy.static.akamaitechnologies.com 。它真的是根 CA 吗?
5- 此请求以明文形式发送,未使用 SSL 协议加密!为什么?不能简单的用中间人攻击来攻击吗?
6- 此数据包仅包含 issuerNameHash、issuerKeyHash 和 serialNumber!他们真的够了吗?!为什么发送散列值?
要回答的问题太多了。
- Web 浏览器将检查 OCSP 响应器以获取证书吊销信息,只有在浏览器设置中设置(这样做)并且证书中有 URL OCSP 才能验证。
- 首先建立证书链。链中的每个证书(不包括在您的证书存储中受信任的根证书,或不:))将由 OCSP 验证(如果满足“1”中的条件)。
- 并不是每个证书都需要 RootCA。链中的每个证书都可以包含 url 到 OCSP 服务器。 OCSP 服务器证书必须由其工作的 CA 颁发,因此每个 CA 都将拥有(可能拥有,这不是强制性服务)其专用的 OCSP 服务器。 OCSP 请求将根据来自正在验证的证书的 url 转到相应的 OCSP 服务器。
- 我不知道 url 是什么。但是根据转储,IP 23.51.123.27 有一个 OCSP 服务器 运行。
- 因为那是 OCSP 的工作方式:)。请求中只有 public 信息,因此不需要加密。响应由颁发经过验证的证书的同一 CA 颁发的 OCSP 服务器签名。客户端可以很容易地验证响应没有被篡改(签名检查)并且它是由有效的 OCSP 响应者发出的——同样没有加密。阅读 RFC 6960 了解更多信息。
- 是的,信息足够了。证书由序列号和颁发者标识。 OCSP 响应器为颁发其证书的 CA 提供服务,以便 OCSP 服务器可以验证请求是否有效(同一颁发者)。 OCSP 服务器可以(但它只是 OCSP 协议的扩展,并未广泛使用 AFAIK)发回已验证证书的指纹。这是OCSP服务器知道证书的确认。