OCSP装订(英语:OCSP Stapling),正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。
OCSP装订解决了在线证书协议中的大多数问题。CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此使用在线证书协议时,高并发的请求会给CA的服务器带来很大的压力。同时由于必须和CA建立连接,OCSP查询还会影响浏览器打开页面的速度并泄漏用户隐私。此外,当OCSP查询无法得到响应时,浏览器必须选择是否在无法确认证书状态的情况下继续连接,造成安全性和可用性二选一的困局。
RFC 6066 第8章中规定了TLS证书状态查询扩展的标准。
RFC 6961 定义了多证书状态查询扩展,允许TLS握手中发送多个证书的OCSP响应。
对OCSP装订的支持正在逐步落实。OpenSSL在Mozilla基金会的协助下发布了支持OCSP装订的0.9.8g版本。
服务器端的支持情况:
浏览器的支持情况:
SMTP方面,Exim在客户端和服务器端都支持OCSP装订。
OCSP装订可以降低OCSP验证的成本,特别针对有很多用户的大型网站。但是OCSP装订在同一时间只能发送一个OCSP响应,对有中级证书的证书链来说并不足够。RFC 6961中提出的多证书状态查询扩展解决了这个问题,允许同时发送多个OCSP响应。
