بروتوكول أوضاع الشهادات على الانترنت (بالإنجليزية: Online Certificate Status Protocol) ، هو بروتوكول على شبكة الانترنت يُستخدم للحصول على الوضع الخاص بالشهادة الرقمية X.509، تم وصف هذا البروتوكول في RFC 2560، وأيضاً في سجل معايير الانترنت (Internet standard track) ، تم انشاءه كبديل عن قوائم نقض الشهادات (Certificate revocation lists) و تحديداً لمعالجة مشاكل معينة مرتبطة باستخدام الـ (CRLs) في البنية الاساسية للمفتاح العام (public key infrastructure PKI).
الرسائل التي يتم ارسالها باستخدام الـOCSP يتم ترميزها في الـ ASN.1 و يتم غالباً ارسالها باستعمال بروتوكول الـ HTTP.
طبيعة هذه الرسائل تكون "طلب\استجابة"، هذه الطبيعة تقود إلى ما يُسمى بخوادم بروتوكول أوضاع الشهادات على الانترنت و الذين تتم الاشارة لهم بـ ( مجاوبي الـOCSP ) .
عند نشر البنية الاساسية للمفتاح العام يُفضل استخدام الـ OCSPو ليس الـ CRLsوذلك للأسباب التالية:
1. OCSP تُوفر المعلومات في الوقت المناسب ، بشأن إلغاء/تعليق حالة شهادة معينة.
2. OCSP تُزيل الحاجة لعملاء لاسترجاع قوائم الـ CRLs بأنفسهم مما يؤدي إلى ازدحام أقل في الشبكة و إدارة أفضل للـ (Bandwidth).
3. باستخدام الـ OCSP لا يحتاج العملاء للقيام بتحويل قوائم الـ CRLs بأنفسهم.
4. بإمكان مُجاوب الـ OCSP أن يُطبق أليات لإصدار الفواتير، لتحويل تكلفة مصادقة المعاملات إلى البائع بدلاً من المُشتري.
5. يُمكن النظر لقوائم الـ CRLs على أنها مماثلة لشركات بطاقات الائتمان ( قوائم العملاء السيئين ) ، و لا داعي لعرض هذه القوائم للجمهور.
6. يدعم بروتوكول الـ OCSP التسلسل الموثوق به لطلبات الـ OCSP بين مجاوبو الـ OCSP ، هذا يسمح للعملاء التواصل مع مجاوب موثوق به للاستفسار عن مجاوب مناوب أو بديل و بالتالي التخلص من التعقيد من جانب العميل.
1. أليس و بوب لديهم شهادة مفتاح عام، تم اصدارها من قِبل إيفان (Certificate authority) .
2. أليس تريد أن تقوم بمعاملات مع بوب و تقوم بارسال شهادة المفتاح العام الخاص بها إلى بوب.
3. بوب قلق من ان يكون المفتاح الخاص لأليس قد تعرض للسرقة أو التعديل، لذا يقوم بإنشاء طلب OCSP يحتوي على ( بصمة الاصبع للمفتاح العام) الخاص بأليس ، و إرساله إلى ايفان.
4. مجاوبو الـ OCSP لدى ايفان يقومون بتخزين (revocation status) لشهادة أليس (باستخدام بصمة الاصبع التي انشئها بوب)، في قاعدة بيانات مصدر صلاحية الشهادات، و هي قاعدة بيانات تنتمي لايفان.
5. مجاوبون الـ OCSP الخاصين بايفان يؤكدون لاليس ان شهادتها لا تزال سليمة و يُرجعون (رد OCSP) ناجح و موقع إلى بوب.
6. عن طريق التشفير يقوم بوب بالتحقق من الرد الموقع ( بوب لديه المفتاح العام الخاص بايفان للنطاق (bandwidth) و ايفان هو مجاوب موثوق به) و يؤكد انه تم انشاء الرد الموقع مؤخراً.
7. بوب يُكمل تعاملاته مع أليس.
من الممكن أن يُعيد مُجاوب الـ OCSP رد مُوقع يدل على أن حالة الشهادة المحددة في الطلب هي "جيدة" ، "مُلغاة"أو "غير معروف"، إذا كان الطلب لا يمكن معالجته أو الاستجابة له فإنه يتم إعادة ما يدل على وجود خطأ.
الصيغة العامة لطلب الـ OCSP تدعم امتدادات إضافية، هذا ما يُمَكن من القيام بعملية تعديل واسعة النطاق لمخطط PKI معين. بروتوكول الـ OCSP له مقاومة عالية ضد هجوم إعادة الإرسال(replay attack ) ، حيث أن رد موقع بأن الشهادة "جيدة" يتم الحصول عليه من قِبَل وسيط غير مرغوب به (Malicious ) و تتم إعادة إرساله للعميل في موعد لاحق بعد أن تكون الشهادة المعنية قد تم إلغائها ، OCSP يتغلب على ذلك بإدراج رقم خاص(Nonce) بالطلب، و هذا الطلب يجب إدراجه مع الاستجابة (الرد ) المناسب له. هجوم إعادة الإرسال مُحتمل لكنه لا يُشكل تهديداً أساسياً للأنظمة التي تم تصديقها، يعود ذلك للخطوات
المتبعة لمقاومة هذا الهجوم، المهاجم (Attacker) يجب أن يكون في موقع يسمح له بالقيام بالتالي:
1. السيطرة على حركة الشبكة (Network traffic) ، و في وقت لاحق إعادة إرسال هذه الحركة (تتم هذه العملية بوقف الحركة ثم إعادة تحريكها).
2. الحصول على وضع الشهادة التي على وشك أن تتغير.
3. إجراء معاملة معينة تتطلب الحصول على وضع تلك الشهادة ضمن الإطار الزمني لصلاحية الاستجابة.
غالباً لا يتم إرجاع شهادة تم إلغاءها (فقط في حالة كانت موقفة) ، المهاجم يجب أن يحصل على استجابة جيدة و ينتظر حتى تُلغى الشهادة ثم يعيد إرسال الاستجابة. بروتوكول الـOCSP يدعم أكثر من مستوى من مستويات مصدر الشهادة. طلبات OCSP تكون متسلسلة بين مجاوبين متناظرين للاستفسار عن مُصدر الشهادة المناسب لشهادة معينة ، و المجاوبون يصدقون استجابات بعضهم البعض أمام مركز مصدر الشهادة باستخدام طلبات OCSP الخاصة بهم.
تقوم خوادم تصديق مسار التفويض (Delegated Path Validation Servers DPV) بالاستفسار من مجاوبون الـ OCSP عن معلومات الإلغاء, أما الـ OCSP بحد ذاته لا يقوم بأي تفويض لأي من الشهادات الموردة له.