4.5.2 在线证书状态协议（OCSP）
               为解决 CRL 机制的上述问题，RFC  2560 定义了 OCSP（Online  Certificate  Status
               Protocol，在线证书状态协议），提供了一种实时检查证书状态的机制。与 CRL 包含
               被撤销证书的序列号不同，OCSP 支持验证端直接查询证书数据库中的序列号，从
               而验证证书链是否有效。总之，OCSP 占用带宽更少，支持实时验证。

               然而，没有什么机制是完美无缺的！实时 OCSP 查询也带了一些问题：

               •   证书颁发机构必须处理实时查询；
               •   证书颁发机构必须确保随时随地可以访问；
               •   客户端在进一步协商之前阻塞 OCSP 请求；
               •   由于证书颁发机构知道客户端要访问哪个站点，因此实时 OCSP 请求可能会泄露
                 客户端的隐私。


                          实践中，CRL 和 OCSP 机制是互补存在的，大多数证书既提供指令也支持
                          查询。
                          更重要的倒是客户端的支持和行为。有的浏览器会分发自己的 CRL 名单，
                          有的浏览器从证书颁发机构取得并缓存 CRL 文件。类似地，有的浏览器会
                          进行实时 OCSP 检查，但在 OCSP 请求失败的情况下行为又会有所不同。要
                          了解具体的情况，可以检查浏览器和操作系统的证书撤销网络设置。



               4.6 TLS记录协议

               与位于其下的 IP 或 TCP 层没有什么不同，TLS 会话中交换的所有数据同样使用规
               格明确的协议进行分帧（图 4-8）。TLS 记录协议负责识别不同的消息类型（握手、
               警告或数据，通过“内容类型”字段），以及每条消息的安全和完整性验证。



                   ጴব
                            ాඹૌ႙
                                     ӲԨ                              ׊܈
                                                     ৫ࢁ

                                              ག؊DŽৈ๢ᆩᇀ੷े௢Dž


               图 4-8：TLS 记录结构

               交付应用数据的典型流程如下。


               54   ｜   第 4 章