OCSP

OCSP (Online Certificate Status Protocol) je internetový protokol sloužící k ověření stavu X.509 certifikátu, zejména zda certifikát nebyl revokován (zneplatněn).

OCSP protokol je definován v RFC 6960 a byl vytvořen jako náhrada za starší CRL (Certificate Revocation List), který příliš nevyhovuje dnešním nárokům.

OCSP komunikace probíhá na bázi dotaz-odpověď přes HTTP, načež serverům provozujícím OCSP se obecně říká OCSP Responder, který zpravidla provozuje certifikační autorita (CA), jenž vystavila X.509 certifikát.

Hlavní výhodou OCSP oproti CRL jsou výrazně nižší nároky na data, protože odpověď OCSP Responderu obsahuje mnohem méně informací.

Adresa OCSP Responderu je uvedena přímo v certifikátu.

Obecně vzato platí, že pokud OCSP Responder v odpovědi neuvede, že je certifikát neplatný, pak je certifikát platný. Způsob integrace však záleží na výrobci konkrétního software (například webového prohlížeče). Pokud se s OCSP nepodaří spojit, a tudíž ověřit, zda certifikát byl či nebyl zneplatněn, může prohlížeč implicitně přístup na webovou stránku zablokovat a zobrazit chybu.