OCSP

(Online Certificate Status Protocol)

Paulo Ricardo R. Lima RA 20072 Ano 2013

Agenda da apresentao

1. 2. 3. 4. 5.

Definio Funcionamento Exemplo de utilizaao do OCSP Detalhes do protocolo Fim

Definio ?

Para que serve o OCSP?

OCSP um protocolo de internet utilizado para obter o status de revogao de um certificado digital X.509.
Como surgiu? Ele foi criado como uma alternativa ao CRL, especificamente sobre certos problemas que ocorrem com as CRLs

Exemplo: -Imagine que um certificado esta dentro do seu prazo de validade, mas precisa ser revogado. O que fazer ?

Funcionamento

Como funciona o OCSP?

1 O CA publica sua lista de certificados revogados no servidor OCSP 2 O Cliente contata o OCSP para checar se o certificado valido 3 O Servidor OCSP responde com o status do certificado

Desta forma podemos revogar o certificado e publicalos de forma que possam ser efetuadas consultas atraves da internet. Assim os clientes passam a saber se o certificado esta revogado ou no.

Exemplo de Utilizaao do OCSP

Bob Alice e Ivan

Alice e Bob tm certificados de chave pblica emitidos por Ivan, o Certificate Authority (CA). Alice deseja realizar uma transao com Bob e lhe envia o certificado de chave pblica.

Bob, preocupado que a chave privada de Alice pode ter sido comprometida, cria um "pedido OCSP", que contm o nmero de srie do certificado de Alice e envia para Ivan.
OCSP Ivan l o nmero de srie do certificado solicitado por Bob. O OCSP usa o nmero de srie do certificado para procurar o estado de revogao do certificado de Alice. O OCSP olha em um banco de dados CA que Ivan mantm. Neste cenrio 0 banco de dados de Ivan CA o nico local onde um compromisso confivel de certificado de Alice seria registrada. OCSP Ivan confirma que o certificado de Alice ainda est OK, e retorna uma resposta OCSP de sucesso para Bob. Bob verifica resposta assinada por Ivan. Bob tem armazenado chave pblica de Ivan (Ele possui a chave publica de Ivan. Bob completa a transao com Alice

Detalhes do protocolo OCSP

Tipos de respostas do OCSP so: Bom, Revogado e Desconhecido Possui suporte a extenso, pode ser personalizado para uma PKI particular OCSP pode ser vulneravel a ataques de repetio

Navegadores Suportados

Internet Explorer comeando com a verso 7 no Windows Vista (no XP). Google Chrome Todas as verses do Mozilla Firefox. Firefox 3 permite verificar OCSP por padro

Safari no Mac OS X. Ele ativado por padro a partir do Mac OS X 10.7 (Lion). Antes disso, ele tem que ser ativado manualmente nas preferncias do Keychain
Verses do Opera a partir da 8.0

FIM

Obrigado pela ateno !

Dvidas ou sugestes ?