iroda | telefon | email
online hibabejelentés
jelenleg futó akcióink
aktuális állásajánlataink
Tanúsítvány-ellenőrzés valós időben
2009. szeptember 11. 11:14
Az elektronikus kommunikációban egyre növekszik a nyilvános kulcsú infrastruktúrára épülő (továbbiakban: PKI – Public Key Infrastructure) szolgáltatások használata. Az elektronikus dokmentumok titkosítva és a megfelelő elektronikus aláírás használatával hiteles dokumentumnak tekinthetők már az elektronikus cégeljárásokban.
A részt vevő feleket az online kommunikációban vagy tranzakcióban elektronikus tanúsítványok (IETF:X.509 .v3) segítségével tudjuk azonosítani. A tanúsítványokat egy ún. megbízható harmadik fél a hitelesítés-szolgáltató (Certificate Authority; továbbiakban: CA) állítja ki és menedzseli. A CA felelős a tanúsítványok ellenőrzéséért, illetve a törölt vagy visszavont tanúsítványok állapotának publikálásáért. A CA által kiadott tanúsítványoknak meghatározott, általában 1 éves életciklusuk van, de természetesen lehetnek ennél rövidebbek is. Nem célszerű nagyon rövid életciklusú tanúsítványt kiadni, hiszen a gyakori kulcscserék megnehezíthetik a kommunikációt.
A PKI-alapú szolgáltatások használatának talán legfontosabb része a megbízható ellenőrzési eljárás. Ennek megfelelően alapos körültekintéssel kell eljárni, ha elektronikus dokumentumok alapján szeretnénk döntéseket hozni. Az ellenőrzési procedúra keretében nemcsak az aláírást kell ellenőrizni, hanem az aláíró fél tanúsítványát is. A tanúsítvány ellenőrzésekor a hitelesítés szolgáltató által kibocsátott hitelesítési rend alapján kell eljárnunk. Ha nem az irányelv alapján ellenőrizzük a tanúsítványokat, akkor ilyen esetekben a CA nem vállal semmilyen felelősséget. A CA-k a szolgáltatási szabályzatban írják le a követelményeket és a hitelesítési irányelvben csak hivatkoznak rá. A CA felelőssége, akkor áll fent, ha például valaki kérte tanúsítványa visszavonását, és a CA nem tette közzé a szolgáltatási szabályzatban leírt időn belül.
Tanúsítvány-visszavonási okok
Létezik néhány ok, amely miatt szükségessé válhat a tanúsítványok visszavonása még lejárat előtt, ilyen eset például, amikor egy alkalmazott elhagyja a céget – ekkor a privát kulcsot vissza kell vonni. Ebben az eseten a tanúsítványt kiadó CA-nak vissza kell vonnia a tanúsítvány érvényességét, így az adott dokumentumot Revoked (visszavonva) jelzéssel látják el. Egy másik lehetőség, amikor az ügyfél kérheti saját tanúsítványának visszavonását, mert például megszerezték titkos kulcsát vagy esetleg elvesztette az intelligens kártyát, amelyen a kulcsot tárolta.
A tanúsítvány ellenőrzése
Magyarországon két technológia terjedt el, amelyek segítségével ellenőrizhetjük egy tanúsítvány visszavonási állapotát: az egyik a visszavonási lista (Certificate Revocation List), a másik pedig a kérdés-válasz alapú online tanúsítványállapot szolgáltatás (Online Certificate Status Protocol). A szabványok alapján a tanúsítványláncban szereplő minden tanúsítvány visszavonási állapotát ellenőriznünk kell.
Tanúsítvány-visszavonási listák (Certificate Revocation List; RFC 2527): a tanúsítvány-ellenőrzés egyik módszere, hogy a CA létrehoz egy tanúsítvány-visszavonási listát, egy ún. CRL-t és ezeket közreadja egy adatbázisban (Repository). A CRL-ek megadják az adott időpillanatban lévő összes, CA által érvénytelenített tanúsítvány önálló sorszámát (serial number). A CA a CRL-listákat meghatározott időben publikálja, amit az ügyfelek le tudnak tölteni a megadott helyről. A tanúsítványban találhatunk egy kiterjesztést - CRL DP - Certificate Revocation List (CRL) Distribution Point: itt egy URL-ben láthatjuk, hogy hol és milyen protokollal érhetjük el a CRL-listát (például Idap://, ldaps://, http:// vagy https://), illetve lehet még ún. Multiple CRL DP, amely több CRL DP pontot tartalmaz. Így ha az egyik nem elérhető, akkor mehetünk a másikra. A visszavonási listák ingyenesen elérhetők bárki számára. A CRL-listák mérete a néhány KB-tól egészen 8 MB-ig is mehet, így viszonylag elég nagy hálózati forgalmat lehet vele produkálni. Erre hozták létre a delta CRL-t, ami lényegében a teljes CRL-hez képest a változásokat adja közre. A delta CRL-t a Start date, illetve a Sequence Number alapján lehet ellenőrizni, hogy nem maradt-e ki közben visszavonási lista.
A CRL-listák kevésbé megbízhatók, mint a következőkben bemutatott OCSP-eljárás, hiszen a CRL-listák alkalmazása esetében az ügyfeleknek kell letölteni és ellenőrizni a tanúsítványokat. Egy másik probléma, hogy a CRL-információk nem mindig frissek. Ha egy CA kiad egy napi CRL-listát, de közben visszavon tanúsítványokat, ezek a tanúsítványok már csak a következő napi CRL-listán jelennek meg, tehát az ügyfelek csak másnap juthatnak hozzá a következő CRL-frissítéshez (CRL-update). Így például egy tanúsítvány ellenőrzése miatt egy üzleti döntés 1 napot csúszhat. Ezt az időcsúszást szokták „kivárási időként" (grace period) emlegetni. A kivárási idő a visszavonás-kérés feldolgozásából, illetve nyilvánosságra hozatalának időtartamából áll.
Valós idejű tanúsítvány-lekérdezés (Online Certificate Status Protocol, RFC 2560): a másik módszer a tanúsítványok állapotának ellenőrzésére, amit IETF (Internet Engineering-Task Force) fejlesztett ki, és ma már „de facto" szabvány, az OCSP protokoll, amely lényegében valós idejű tanúsítványállapot-lekérdezést tesz lehetővé. A protokoll alapvetően a kérés-válasz mechanizmusra épül, így az ügyfelektől beérkező kérésekre egy ún. OCSP-válaszadó egység (OCSP responder) felel az ügyfélnek, ez rendelkezésre bocsátja a tanúsítvány állapotára vonatkozó információkat. Az ügyféloldali alkalmazás (internetböngésző, egyéb gyártó saját terméke) automatikusan meghatározza, hogy az adott pillanatban a tanúsítvány még megbízható-e. Az OCSP-módszer rendkívül értékes lehet vállalatoknak, szervezeteknek, mivel a tanúsítvány érvényességéről szolgáltatott információk mindig frissek és pontosak.
Az OCSP protokoll működése
1. Request (kérés): a kérést mindig az ügyféloldalon lévő alkalmazás kezdeményezi. Természetesen ehhez a lekérdezés előtt fel kell készíteni az ügyfélprogramot, amely lehet egy web böngésző alkalmazás (az IE 8 már támogatja) vagy más gyártó saját fejlesztésű programja (például e-szignó alkalmazás a Microsectől), esetleg egy plug-in.
Egy OCSP-kérésnek a következőket kell tartalmaznia: protokoll verzió, szolgáltatási kérés, az ellenőrzendő tanúsítvány azonosítása, opcionális kiterjesztés, amit feldolgozhat az OCSP-válaszadó egység. Az OCSP-válaszadó a fogadott kérést feldolgozza és megnézi a kérés formátumát, illetve hogy konfigurálva van-e a megkért szolgáltatásra. Ha a kérés tartalmaz legalább egy olyan információt, amelyet nem tud biztosítani, akkor hibaüzenettel tér vissza az ügyfélprogramhoz, máskülönben visszaadja a választ.
Az ügyfélprogram a kérésben lévő tanúsítvány AIA (Authority Information Access) kiterjesztéséből keresi meg a megfelelő OCSP-válaszadót. Ez a kiterjesztés rendszerint egy mutató egy http:// vagy egy https:// helyre, ahol az OCSP-válaszadó található, amely majd biztosítja az OCSP-választ. Általánosan a kérdés-válasz 1-2 KB méretű, szemben a CRL DP-vel, amely néhány KB-tól egészen néhány MB-os is lehet.2. Response (válasz): az OCSP-válaszoknak különböző típusaik lehetnek. Az OCSP-válaszoknak van egy alap típusa, amelyet mind az OCSP-szervernek, mind az OCSP-ügyfeleknek támogatniuk kell. Az OCSP-válasz általában két részből áll, egyik a válasz típusa, a másik pedig az aktuális válasz. Minden válaszüzenetet elektronikusan alá kell írni. A kulcsnak, amellyel aláírják a válaszokat, az alábbiak közül legalább egy feltételnek meg kell felelnie.
A tanúsítványokra vonatkozó válaszok állapotértékei (certificate status value) a következők lehetnek: „good" (jó); „revoked" (visszavont), illetve „unknown" (ismeretlen). A Good állapot jelzi a pozitív választ, amely mutatja, hogy a tanúsítványt nem vonták vissza. A Revoked állapot jelzi, hogy a tanúsítvány vissza lett vonva. (Az, hogy teljesen visszavonták vagy csak felfüggesztették pillanatnyilag, a válaszban nem látszik.) Az Unknown-nal állapotot jelez felénk a válaszadó, amikor a kérésben lévő tanúsítványról nem talál információt.
Az OCSP-válasz ellenőrzése: ellenőrizni kell az aláírás érvényességét, illetve a választ, hogy tényleg az adott CA OCSP válaszadójától kaptuk-e. Az OCSP-válaszadó tanúsítványa érvényes volt-e – ez általában letölthető az adott CA honlapjáról, emellett még ellenőrizni kell, hogy a lekérdezés időpillanatában érvényes volt-e a tanúsítványa. Ugyanis előfordulhat, hogy a válaszadó egység tanúsítványa időközben lejár, de ilyen esetekben például időbélyeg alapján igazolható, hogy a tanúsítvány a lekérdezés pillanatában még érvényes volt. (Vannak azonban olyan esetek, amikor az OCSP-válaszadó hibaüzenettel tér vissza az ügyfélhez.) Az OCSP-válaszadót nem szükséges a CA-nál üzemeltetni, hanem futhat önálló entitásként különböző site-okon. Egy OCSP-válaszadó kiszolgálhat több CA-t is.
Microsec e-Szignó
Magyarországon a Microsec volt az első, amely bevezette az OCSP-protokollal való online tanúsítvány-ellenőrzést. Az e-Szigno elektronikus aláíró programcsomag teljes eszköztárat biztosít az elektronikus dokumentumok fokozott biztonságú vagy minősített elektronikus aláírással való hitelesítéshez, illetve archiváláshoz. A program segítségével a felhasználók az elektronikus adatokat alá tudják írni elektronikusan, majd az így aláírt dokumentumokat szabványos (ETSI TS 101 903 - XAdES) ún. elektronikus aktákba rendezhetik (formátum: akta.es3). Az e-Szigno szoftver alkalmas elektronikus aláírás, időbélyegzés, ellenjegyzés készítésére; elektronikus átvételi elismervény készítésére és ellenőrzésére; dokumentumok formátumának ellenőrzésére; többszintű aláírás-verifikálásra; valamint segítségével az elektronikus dokumentumok aktákba szervezhetők. A programmal készített elektronikus akták aláírt dokumentumai alkalmasak a cégbírósági és a közigazgatási elektronikus ügyintézésben való felhasználásra.
Az e-Szigno program az OCSP-szolgáltatás segítségével az e-Szigno Hitelesítés Szolgáltató által kibocsátott összes tanúsítvány aktuális visszavonási állapota lekérdezhető. A lekérdezés azonnali, hiteles választ ad az aktuális tanúsítvány állapotáról. E módszer a leggyorsabb és legbiztonságosabb módja a tanúsítványállapot-lekérdezésnek. A tanúsítványállapot válasz hitelessége később is ellenőrizhető és bizonyítékként is felhasználható. Az online tanúsítványállapot szolgáltatás díjköteles, az e-Szignó Hitelesítés Szolgáltató minden egyes tanúsítványlekérdezésért díjat számol fel. Az e-Szignó programban az Eszközök menü alatt a Beállításoknál találjuk az Alapértelmezett hitelesítési adatok menüt. Ha előfizettünk a szolgáltatásra, akkor itt tudjuk beállítani a megfelelő authentikációs tanúsítványt mind az időbélyeg, mind az OCSP-szolgáltatásra. A másik lehetőség, amikor szolgáltatótól kapunk felhasználói nevet és jelszót az e-szigno.hu domainhez, és ezzel vesszük igénybe a szolgáltatást. A jelszó megváltoztatása a Microsec weboldalán lehetséges.
A tanúsítványok visszavonási állapotának ellenőrzésekor választhatunk, hogy milyen módszerrel szeretnénk ellenőrizni. Ha az OCSP/CRL-t választjuk, akkor először OCSP-vel próbálkozik, majd ha az nem megy, akkor következik a CRL. A Kikapcsolva opciót nem javaslom, mert érvénytelen aláírást is elfogadhatunk vele. A Várakozás friss visszavonási információkra az aláírás létrejötte után kibocsátott visszavonási információkat követel meg. Értékes, fontos dokumentumokon levő aláírások elfogadásakor mindenképpen ajánlott e beállítás megléte. Ha a Válaszadó ellenőrzése opció be van jelölve, akkor automatikusan ellenőrzi az OCSP-válaszadó tanúsítványát. Az „Először a beállított OCSP-szolgáltatók használata" ha be van jelölve, akkor a default OCSP-szolgáltatókat veszi sorba, csak azután megy a tanúsítványban talált OCSP-szolgáltatóhoz. A program elvégzi helyettünk az olykor bonyolult tanúsítvány-ellenőrzési procedúrát néhány másodperc alatt, így nemcsak időt takarítunk meg, hanem kizárhatjuk annak lehetőségét is, hogy valamit figyelmen kívül hagyunk, és így tévesen fogadunk el aláírást.
Összesítés
Az üzleti döntéseknél nagyon fontos és elengedhetetlen az elektronikus dokumentumok körültekintő ellenőrzése. A visszavonási információk ellenőrzését a Hitelesítő Hatóság által jóváhagyott módon kell elvégeznünk, hiszen e nélkül a szolgáltató semmilyen garanciát nem tud vállalni. Két okból van szükség visszavonási információkra (CRL-ekre és OCSP-válaszokra). Egyrészt, az aláírás befogadásakor a visszavonási információk alapján állapítjuk meg, hogy a tanúsítvány az aláírás pillanatában érvényes volt-e. Másrészt, később a visszavonási információk segítségével igazolhatjuk, hogy az aláírást valóban megalapozottan fogadtuk el. A visszavonási információk védik az aláírás befogadóját, és biztosítják az aláírás letagadhatatlanságát. Mint láthattuk, a tanúsítvány validáció leggyorsabb és legbiztonságosabb módja az online tanúsítvány-ellenőrzés (OCSP). A tanúsítvány megfelelő ellenőrzése bonyolult, precíz feladat, amit elvégezhet helyettünk egy szoftver is. Az e-Szignó program használatával mind készíteni, mind ellenőrizni tudunk aláírásokat, mindezt ki tudjuk bővíteni időbélyeg és OCSP-szolgáltatással. A lekérdezett tanúsítványok mindig az aktuális állapotot fogják mutatni, illetve az időbélyeg szolgáltatás igénybevételével hiteles időpontot tudunk aláírásunkhoz kapcsolni.
A PKI-alapú szolgáltatások használatának talán legfontosabb része a megbízható ellenőrzési eljárás. Ennek megfelelően alapos körültekintéssel kell eljárni, ha elektronikus dokumentumok alapján szeretnénk döntéseket hozni. Az ellenőrzési procedúra keretében nemcsak az aláírást kell ellenőrizni, hanem az aláíró fél tanúsítványát is. A tanúsítvány ellenőrzésekor a hitelesítés szolgáltató által kibocsátott hitelesítési rend alapján kell eljárnunk. Ha nem az irányelv alapján ellenőrizzük a tanúsítványokat, akkor ilyen esetekben a CA nem vállal semmilyen felelősséget. A CA-k a szolgáltatási szabályzatban írják le a követelményeket és a hitelesítési irányelvben csak hivatkoznak rá. A CA felelőssége, akkor áll fent, ha például valaki kérte tanúsítványa visszavonását, és a CA nem tette közzé a szolgáltatási szabályzatban leírt időn belül.
Tanúsítvány-visszavonási okok
Létezik néhány ok, amely miatt szükségessé válhat a tanúsítványok visszavonása még lejárat előtt, ilyen eset például, amikor egy alkalmazott elhagyja a céget – ekkor a privát kulcsot vissza kell vonni. Ebben az eseten a tanúsítványt kiadó CA-nak vissza kell vonnia a tanúsítvány érvényességét, így az adott dokumentumot Revoked (visszavonva) jelzéssel látják el. Egy másik lehetőség, amikor az ügyfél kérheti saját tanúsítványának visszavonását, mert például megszerezték titkos kulcsát vagy esetleg elvesztette az intelligens kártyát, amelyen a kulcsot tárolta.
A tanúsítvány ellenőrzése
Magyarországon két technológia terjedt el, amelyek segítségével ellenőrizhetjük egy tanúsítvány visszavonási állapotát: az egyik a visszavonási lista (Certificate Revocation List), a másik pedig a kérdés-válasz alapú online tanúsítványállapot szolgáltatás (Online Certificate Status Protocol). A szabványok alapján a tanúsítványláncban szereplő minden tanúsítvány visszavonási állapotát ellenőriznünk kell.
Tanúsítvány-visszavonási listák (Certificate Revocation List; RFC 2527): a tanúsítvány-ellenőrzés egyik módszere, hogy a CA létrehoz egy tanúsítvány-visszavonási listát, egy ún. CRL-t és ezeket közreadja egy adatbázisban (Repository). A CRL-ek megadják az adott időpillanatban lévő összes, CA által érvénytelenített tanúsítvány önálló sorszámát (serial number). A CA a CRL-listákat meghatározott időben publikálja, amit az ügyfelek le tudnak tölteni a megadott helyről. A tanúsítványban találhatunk egy kiterjesztést - CRL DP - Certificate Revocation List (CRL) Distribution Point: itt egy URL-ben láthatjuk, hogy hol és milyen protokollal érhetjük el a CRL-listát (például Idap://, ldaps://, http:// vagy https://), illetve lehet még ún. Multiple CRL DP, amely több CRL DP pontot tartalmaz. Így ha az egyik nem elérhető, akkor mehetünk a másikra. A visszavonási listák ingyenesen elérhetők bárki számára. A CRL-listák mérete a néhány KB-tól egészen 8 MB-ig is mehet, így viszonylag elég nagy hálózati forgalmat lehet vele produkálni. Erre hozták létre a delta CRL-t, ami lényegében a teljes CRL-hez képest a változásokat adja közre. A delta CRL-t a Start date, illetve a Sequence Number alapján lehet ellenőrizni, hogy nem maradt-e ki közben visszavonási lista.
A CRL-listák kevésbé megbízhatók, mint a következőkben bemutatott OCSP-eljárás, hiszen a CRL-listák alkalmazása esetében az ügyfeleknek kell letölteni és ellenőrizni a tanúsítványokat. Egy másik probléma, hogy a CRL-információk nem mindig frissek. Ha egy CA kiad egy napi CRL-listát, de közben visszavon tanúsítványokat, ezek a tanúsítványok már csak a következő napi CRL-listán jelennek meg, tehát az ügyfelek csak másnap juthatnak hozzá a következő CRL-frissítéshez (CRL-update). Így például egy tanúsítvány ellenőrzése miatt egy üzleti döntés 1 napot csúszhat. Ezt az időcsúszást szokták „kivárási időként" (grace period) emlegetni. A kivárási idő a visszavonás-kérés feldolgozásából, illetve nyilvánosságra hozatalának időtartamából áll.
Valós idejű tanúsítvány-lekérdezés (Online Certificate Status Protocol, RFC 2560): a másik módszer a tanúsítványok állapotának ellenőrzésére, amit IETF (Internet Engineering-Task Force) fejlesztett ki, és ma már „de facto" szabvány, az OCSP protokoll, amely lényegében valós idejű tanúsítványállapot-lekérdezést tesz lehetővé. A protokoll alapvetően a kérés-válasz mechanizmusra épül, így az ügyfelektől beérkező kérésekre egy ún. OCSP-válaszadó egység (OCSP responder) felel az ügyfélnek, ez rendelkezésre bocsátja a tanúsítvány állapotára vonatkozó információkat. Az ügyféloldali alkalmazás (internetböngésző, egyéb gyártó saját terméke) automatikusan meghatározza, hogy az adott pillanatban a tanúsítvány még megbízható-e. Az OCSP-módszer rendkívül értékes lehet vállalatoknak, szervezeteknek, mivel a tanúsítvány érvényességéről szolgáltatott információk mindig frissek és pontosak.
Az OCSP protokoll működése
1. Request (kérés): a kérést mindig az ügyféloldalon lévő alkalmazás kezdeményezi. Természetesen ehhez a lekérdezés előtt fel kell készíteni az ügyfélprogramot, amely lehet egy web böngésző alkalmazás (az IE 8 már támogatja) vagy más gyártó saját fejlesztésű programja (például e-szignó alkalmazás a Microsectől), esetleg egy plug-in.
Egy OCSP-kérésnek a következőket kell tartalmaznia: protokoll verzió, szolgáltatási kérés, az ellenőrzendő tanúsítvány azonosítása, opcionális kiterjesztés, amit feldolgozhat az OCSP-válaszadó egység. Az OCSP-válaszadó a fogadott kérést feldolgozza és megnézi a kérés formátumát, illetve hogy konfigurálva van-e a megkért szolgáltatásra. Ha a kérés tartalmaz legalább egy olyan információt, amelyet nem tud biztosítani, akkor hibaüzenettel tér vissza az ügyfélprogramhoz, máskülönben visszaadja a választ.
Az ügyfélprogram a kérésben lévő tanúsítvány AIA (Authority Information Access) kiterjesztéséből keresi meg a megfelelő OCSP-válaszadót. Ez a kiterjesztés rendszerint egy mutató egy http:// vagy egy https:// helyre, ahol az OCSP-válaszadó található, amely majd biztosítja az OCSP-választ. Általánosan a kérdés-válasz 1-2 KB méretű, szemben a CRL DP-vel, amely néhány KB-tól egészen néhány MB-os is lehet.2. Response (válasz): az OCSP-válaszoknak különböző típusaik lehetnek. Az OCSP-válaszoknak van egy alap típusa, amelyet mind az OCSP-szervernek, mind az OCSP-ügyfeleknek támogatniuk kell. Az OCSP-válasz általában két részből áll, egyik a válasz típusa, a másik pedig az aktuális válasz. Minden válaszüzenetet elektronikusan alá kell írni. A kulcsnak, amellyel aláírják a válaszokat, az alábbiak közül legalább egy feltételnek meg kell felelnie.
- A CA az, aki kiadta a tanúsítványt a kérésben.
- Trusted responder, akinek a nyilvános kulcsában megbízik a kérést indító fél.
- Egy CA által tervezett válaszadó (Authorized Responder), amelynek közvetlenül a CA ad egy tanúsítványt, ez mutatja, hogy ez a válaszadó hiteles OCSP-válaszokat adhat.
A tanúsítványokra vonatkozó válaszok állapotértékei (certificate status value) a következők lehetnek: „good" (jó); „revoked" (visszavont), illetve „unknown" (ismeretlen). A Good állapot jelzi a pozitív választ, amely mutatja, hogy a tanúsítványt nem vonták vissza. A Revoked állapot jelzi, hogy a tanúsítvány vissza lett vonva. (Az, hogy teljesen visszavonták vagy csak felfüggesztették pillanatnyilag, a válaszban nem látszik.) Az Unknown-nal állapotot jelez felénk a válaszadó, amikor a kérésben lévő tanúsítványról nem talál információt.
Az OCSP-válasz ellenőrzése: ellenőrizni kell az aláírás érvényességét, illetve a választ, hogy tényleg az adott CA OCSP válaszadójától kaptuk-e. Az OCSP-válaszadó tanúsítványa érvényes volt-e – ez általában letölthető az adott CA honlapjáról, emellett még ellenőrizni kell, hogy a lekérdezés időpillanatában érvényes volt-e a tanúsítványa. Ugyanis előfordulhat, hogy a válaszadó egység tanúsítványa időközben lejár, de ilyen esetekben például időbélyeg alapján igazolható, hogy a tanúsítvány a lekérdezés pillanatában még érvényes volt. (Vannak azonban olyan esetek, amikor az OCSP-válaszadó hibaüzenettel tér vissza az ügyfélhez.) Az OCSP-válaszadót nem szükséges a CA-nál üzemeltetni, hanem futhat önálló entitásként különböző site-okon. Egy OCSP-válaszadó kiszolgálhat több CA-t is.
Microsec e-Szignó
Magyarországon a Microsec volt az első, amely bevezette az OCSP-protokollal való online tanúsítvány-ellenőrzést. Az e-Szigno elektronikus aláíró programcsomag teljes eszköztárat biztosít az elektronikus dokumentumok fokozott biztonságú vagy minősített elektronikus aláírással való hitelesítéshez, illetve archiváláshoz. A program segítségével a felhasználók az elektronikus adatokat alá tudják írni elektronikusan, majd az így aláírt dokumentumokat szabványos (ETSI TS 101 903 - XAdES) ún. elektronikus aktákba rendezhetik (formátum: akta.es3). Az e-Szigno szoftver alkalmas elektronikus aláírás, időbélyegzés, ellenjegyzés készítésére; elektronikus átvételi elismervény készítésére és ellenőrzésére; dokumentumok formátumának ellenőrzésére; többszintű aláírás-verifikálásra; valamint segítségével az elektronikus dokumentumok aktákba szervezhetők. A programmal készített elektronikus akták aláírt dokumentumai alkalmasak a cégbírósági és a közigazgatási elektronikus ügyintézésben való felhasználásra.
Az e-Szigno program az OCSP-szolgáltatás segítségével az e-Szigno Hitelesítés Szolgáltató által kibocsátott összes tanúsítvány aktuális visszavonási állapota lekérdezhető. A lekérdezés azonnali, hiteles választ ad az aktuális tanúsítvány állapotáról. E módszer a leggyorsabb és legbiztonságosabb módja a tanúsítványállapot-lekérdezésnek. A tanúsítványállapot válasz hitelessége később is ellenőrizhető és bizonyítékként is felhasználható. Az online tanúsítványállapot szolgáltatás díjköteles, az e-Szignó Hitelesítés Szolgáltató minden egyes tanúsítványlekérdezésért díjat számol fel. Az e-Szignó programban az Eszközök menü alatt a Beállításoknál találjuk az Alapértelmezett hitelesítési adatok menüt. Ha előfizettünk a szolgáltatásra, akkor itt tudjuk beállítani a megfelelő authentikációs tanúsítványt mind az időbélyeg, mind az OCSP-szolgáltatásra. A másik lehetőség, amikor szolgáltatótól kapunk felhasználói nevet és jelszót az e-szigno.hu domainhez, és ezzel vesszük igénybe a szolgáltatást. A jelszó megváltoztatása a Microsec weboldalán lehetséges.
A tanúsítványok visszavonási állapotának ellenőrzésekor választhatunk, hogy milyen módszerrel szeretnénk ellenőrizni. Ha az OCSP/CRL-t választjuk, akkor először OCSP-vel próbálkozik, majd ha az nem megy, akkor következik a CRL. A Kikapcsolva opciót nem javaslom, mert érvénytelen aláírást is elfogadhatunk vele. A Várakozás friss visszavonási információkra az aláírás létrejötte után kibocsátott visszavonási információkat követel meg. Értékes, fontos dokumentumokon levő aláírások elfogadásakor mindenképpen ajánlott e beállítás megléte. Ha a Válaszadó ellenőrzése opció be van jelölve, akkor automatikusan ellenőrzi az OCSP-válaszadó tanúsítványát. Az „Először a beállított OCSP-szolgáltatók használata" ha be van jelölve, akkor a default OCSP-szolgáltatókat veszi sorba, csak azután megy a tanúsítványban talált OCSP-szolgáltatóhoz. A program elvégzi helyettünk az olykor bonyolult tanúsítvány-ellenőrzési procedúrát néhány másodperc alatt, így nemcsak időt takarítunk meg, hanem kizárhatjuk annak lehetőségét is, hogy valamit figyelmen kívül hagyunk, és így tévesen fogadunk el aláírást.
Összesítés
Az üzleti döntéseknél nagyon fontos és elengedhetetlen az elektronikus dokumentumok körültekintő ellenőrzése. A visszavonási információk ellenőrzését a Hitelesítő Hatóság által jóváhagyott módon kell elvégeznünk, hiszen e nélkül a szolgáltató semmilyen garanciát nem tud vállalni. Két okból van szükség visszavonási információkra (CRL-ekre és OCSP-válaszokra). Egyrészt, az aláírás befogadásakor a visszavonási információk alapján állapítjuk meg, hogy a tanúsítvány az aláírás pillanatában érvényes volt-e. Másrészt, később a visszavonási információk segítségével igazolhatjuk, hogy az aláírást valóban megalapozottan fogadtuk el. A visszavonási információk védik az aláírás befogadóját, és biztosítják az aláírás letagadhatatlanságát. Mint láthattuk, a tanúsítvány validáció leggyorsabb és legbiztonságosabb módja az online tanúsítvány-ellenőrzés (OCSP). A tanúsítvány megfelelő ellenőrzése bonyolult, precíz feladat, amit elvégezhet helyettünk egy szoftver is. Az e-Szignó program használatával mind készíteni, mind ellenőrizni tudunk aláírásokat, mindezt ki tudjuk bővíteni időbélyeg és OCSP-szolgáltatással. A lekérdezett tanúsítványok mindig az aktuális állapotot fogják mutatni, illetve az időbélyeg szolgáltatás igénybevételével hiteles időpontot tudunk aláírásunkhoz kapcsolni.
(Forrás: Computerworld)
