OCSP

Online Certificate Status Protocol

为什么产生了OCSP？

• 老的实现方案是CRL，CRL由于站点越来越多，于是性能逐渐低下
• OCSP支持检验单个证书，所以性能由于CRL

客户端是怎么通过OSCP校验证书有效性呢？

CA签发的服务端证书中通常都会包含OCSP地址，客户端在获取到服务端证书后，会通过OCSP服务器检测服务端证书

查看证书中OCSP地址

ssl openssl x509 -noout -ocsp_uri -in orange.crt
http://ocsp2.digicert.com

• OCSP 手动测试文档: https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html