L'Online Certificate Status Protocol (OCSP) è lo standard dell'IETF (Internet Engineering Task Force) destinato al controllo della validità dei certificati digitali nel corso di una determinata transazione. Prima dell'arrivo di OCSP non vi era a disposizione un sistema per effettuare in modo semplice un duplice controllo sulla validità di un certificato. OCSP permette invece di condurre queste verifiche in tempo reale, risparmiando tempo e denaro, e fornendo alle attività di e-business un sistema più rapido, semplice e affidabile per la validazione dei certificati digitali rispetto a quello offerto dal tradizionale scaricamento ed elaborazione delle CRL (Certificate Revocation Lists). Rilasciate dalle Certification Authority (CA), le CRL sono liste di certificati e di possessori non validi.

Il tradizionale procedimento di ricerca all'interno delle CRL, per vedere se la licenza di qualcuno è stata revocata, è simile all'analisi di un tabulato stampato da un computer datato. Il metodo di elaborazione delle CRL può inoltre richiedere alle società la configurazione dei propri pc client perché elaborino le CRL provenienti da diverse CA. Spesso le liste CRL si allungano in quanto non vengono rilasciate con grande frequenza oppure a causa di un gran numero di revoche.

La verifica dello stato del certificato avviene lato server, il client controlla solo la firma della risposta OCSP e l'esito:

good significa che il certificato non è stato revocato. Ciò non esaurisce il processo di verifica (validità temporale, scaduto o non emesso)

revoked indica che il certificato è stato revocato

unknown nel caso in cui non si è in grado di fornire informazioni sullo stato del certificato

Di seguito è riportato lo schema delle connessioni dell'appliacazione realizzata in istituto:

L'OCSP Client effettua richieste conformi allo standard OCSP accedendo ad un applicativo disponibile, ad esempio, su uno web server. La richiesta viene gestita da due componenti: OCSPManager e CSResponder . Il Manager si occupa, di verificare l'attendibilità delle richieste ed effettua il loro smistamento verso il CSResponder di competenza. Quest'ultimo accede alla CRL della CA (è stata realizzata anche la versione che accede a database) e produce la risposta OCSP. Sta poi di nuovo al Manager confezionare la risposta OCSP (firmata digitalmente) e inviarla al client.

Riferimento: Fabio Martinelli