PKI ‘ın Temelleri–3 ( Online Certificate Status Protocol {OCSP} )
Online Certificate Status Protocol (OCSP)
Windows Server 2008 ile birlikte bir sertifikanin revoke olup olmadigini anlamak için alternative bir yol uygulanmistir. Client’in tüm base ya da delta crl dosyasini download etmektense , client (OCSP client) bir server’a (OCSP responder olarak refere edilir) http tabanli bir sertifika status request’i gönderir. Client OCSP responderin URL’sini belirlemek için sertifika üzerinde bulunan Authority Information Access extension’ini kullanir. Eger extension bir OCSP responder URL içeriyor ise ve clientta OCSP’yi destekliyor ise , client OCSP responder’a bir OCSP request göndererek ilerler.
Not OCSP Windows Server 2008 de uygulanmistir ve Windows Server 2003 de uygulanamaz. Bu islem için 2003 de 3rd party toolar mevcut idi.
Daha sonrasinda responder bu query edilen sertifikanin issue edildigi Ca ile revocation statusu belirlemek için haberlesir ve sertifikanin statusunu belirten digitaly signed bir cevap ile dönüs yapar .OCSP responder certification authority ile direk iletisime geçebilir ya da requested Certificate ‘in revocation status unu belirlemek için CA tarafindan issue edilen CRL leri inceleyebilir.
OCSP nin avantaji requestteki toplam data ve response daki fix size dir. Certification authority tarafindan ne kadar sertifika revoke edildigi OCSP responderin cevap datasinin büyüklügünü etkilemez. Ilave olarak OCSP responder OCSP client’a en güncel revocation information’i saglar .OCSP uygulanirken yasanilabilecek en büyük sorun OCSP responder’in ölçeklenmesidir (scalability).Windows Load Balancing Service (WLBS) cluster ya da diger load-balancing çözümleri High availability için gerekliliktir. Cluster nodelari siklikla OCSP clientlara zamaninda cevap vermek için ana network hublarina dagitilir.
OCSP Client
certificate revocation status belirleme için Windows Vista ve Windows Server 2008 OCSP kullanimini destekler . OCSP client RFC 2560—“X.509 Internet Public Key Infrastructure Online Certificate Status Protocol—OCSP” ile eslesir fakat ayrica Standards Track RFC 5019—“The Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environments” içerisindeki önerileri yüksek volume OCSP senaryolari için uygular
RFC 5019 Support OCSP ‘ye ne ekler ?
RFC 5019 ‘un draft edilmesinin baslica nedeni OCSP’ye performans fonksiyonlugu eklemektir. Full profile (RFC 2560) ve RFC 5019 arasinda bazi majör farkliliklar vardir ve bunlar asagidakileri içerir :
¦Lightweight OCSP Profile hem Hypertext Transfer Protocol (HTTP) hem de Hypertext Transfer Protocol Secure (HTTPS) destekler.
¦Lightweight OCSP Profile response’lari full profile’da gerekli olmayan notBefore ve notAfter tarihlerini belirtmelidir. .
¦Imzalanmis request’ler Lightweight OCSP Profile da desteklenmez.Client imzalanmis bir request olusturamaz ; Eger bir third party OCSP client tarafindan imzalanmis bir request Online Responder’a gönderilir ise bir “Unauthorized” cevabi döner.
¦ Lightweight OCSP Profile ile birlikte , nonce (a unique identifier) request’te desteklenmez ve response da göz ardi edilir. Bununla birlikte Online Responder nonce extension ‘i destekler ve eger konfigürasyonu yapilmis ise nonce extension içeren bir cevap döner
Ryan Hurst Co-author of RFC 5019
Online Responder Service
Online Responder OCSP server’i Network Service privileges ile birlikte çalistiran bir Microsoft Windows service (ocspsvc.exe) dir . Asagidaki operasyonlar Online Responder service tarafindan perform edilir.
¦ OCSP yapilandirmasini yönetmek
Online Responder service özellikleri public interfaces, access control settings, audit settings, ve Web proxy cache settings içerisinden ayarlanilabilir. Bu ayarlar OCSP server in asagidaki registry kayitlarinda tutulur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder.
¦revocation information’i alip cache’lemek Online Responder ileriki responselar için revocation information’i alip cache leyebilir ( base CRLs ve delta CRLs gibi )
¦OCSP response’lari imzalar OCSP server bir OCSP request ‘e cevap verdiginde , Online Responder service response’u bir pre-defined signing key ile imzalar.
¦configuration degisikliklerinin auditler Online Responder in configuration daki herhangi bir degisikligi auditleyebilirsiniz . Auditing configuration Auditing için Common Criteria requirement’lar ile eslesir.
Kaynak : Windows Server 2008 PKI and Certificate Security