Online Certificate Status Protocol

Когда к получателю приходит документ подписанный Электронной цифровой подписью (ЭЦП) он должен быть уверен, что подпись верна и одним из факторов её достоверности является то, что на момент подписания и документа и его просмотра сертификат отправителя, которым он написал документ – действителен, это значит, что у него не истёк срок действия или он не был отозван раньше истечения срока своего действия по каким-либо причинам. Проверить актуальность сертификата можно либо по списку отозванных сертификатов (Certificate Revocation List, CRL), либо при помощи сервиса онлайн проверки статуса сертификата (Online Certificate Status Protocol, OCSP).

CRL — специальный файл который публикуется в общедоступное место в сети Удостоверяющим центром, в этом файле содержаться все сертификаты которые были отозваны. Неудобство использования CRL заключается в том, что этот список публикуется с каким-то интервалом: раз в неделю, раз в день, раз в час… Соответственно может сложиться ситуация, когда сертификат уже отозван, но ещё не опубликован и соответственно не скачен новый CRL, в котором этот сертификат уже присутствует. Получается, что к сертификату какое-то время остаётся доверие даже после его отзыва. Также, клиент должен каждый раз загружать новый CRL, что не способствует экономии интернет трафика. Поэтому, если есть возможность лучше использовать OCSP.

OCSP — является сервисом типа запрос-ответ, который заключается в двух сообщениях. Клиент посылает серверу запрос на получение статуса сертификата, а сервер возвращает ответ со статусом сертификата. К преимуществам такого подхода можно отнести, что клиенту не нужно скачивать весь CRL, что экономит трафик, также пользователь всегда будет получать самую актуальную информацию об интересующем его сертификате. Применение OCSP немного ускоряет и автоматизирует работу с ЭЦП, т.к. отпадает необходимость самому постоянно заходит на общедоступный ресурс в сети, скачивать оттуда файл CRL, устанавливать его на своём компьютере, при использовании необходимого программного обеспечения, например «КриптоАРМ», программа сама будет проверять сертификаты на подлинность.