Protokół bezpieczeństwa certyfikatów online to standardy, na podstawie których zbudowane są aplikacje do wystawiania certyfikatów i uwierzytelniania. Protokół określa dokładnie, jakie informacje należy podać, aby nadać status certyfikatu i zidentyfikować serwer, z którego pochodzi.
Gdy serwer próbuje połączyć się z zabezpieczonym komputerem, następuje wymiana certyfikatów. Aby certyfikat został uwierzytelniony, istnieje standardowy zestaw informacji, które muszą być wymieniane i weryfikowane. Protokół bezpieczeństwa certyfikatu online określa, jakie są te informacje i w jakim formacie muszą być przesyłane. Każda transmisja musi zawierać wersję protokołu, żądanie serwera i identyfikator certyfikatu docelowego. Istnieją również opcjonalne rozszerzenia, które mogą zostać zaakceptowane przez respondenta protokołu zabezpieczeń certyfikatu online.
Gdy respondent protokołu bezpieczeństwa certyfikatu online odbiera żądanie, sprawdza, czy wiadomość jest prawidłowo sformatowana, czy żądane serwery są dostępne od obiektu odpowiadającego i czy zostały uwzględnione wymagane informacje. Jeśli nie, do nadawcy wysyłany jest komunikat o błędzie.
Protokół określa minimalne standardy i zawiera szczegóły wszystkich możliwych odpowiedzi. Wszystkie odpowiedzi z zaakceptowanych certyfikatów muszą zawierać jeden z następujących elementów; podpis pochodzącego od urzędu certyfikacji, zaufanej strony trzeciej lub osoby odpowiedzialnej za uwierzytelnianie certyfikatu, która jest należycie upoważniona do przetwarzania tych żądań.
Protokół bezpieczeństwa certyfikatów online można porównać do branży ślusarskiej. Chociaż istnieje szeroka gama firm zajmujących się blokadami, firm kluczowych i opcji zabezpieczeń, istnieją podstawowe funkcje, które są spójne w całej branży, przyjęte standardy stanowią podstawę tych umów.
Wiadomość pozytywnej odpowiedzi zawiera wersję odpowiedzi, nazwę respondera, zawarte odpowiedzi, wszelkie opcjonalne rozszerzenia, sygnaturę algorytmu i sygnaturę wyliczoną na podstawie skrótu odpowiedzi. W odpowiedzi zawarty jest status certyfikatu i istnieją trzy opcje; dobre, odwołane i nieznane.
Obowiązkiem klienta protokołu bezpieczeństwa certyfikatu online jest potwierdzenie, że podpisana odpowiedź jest ważna, sygnatariusz jest zgodny z odbiorcą, sygnatariusz jest autoryzowany, gdy aktualizacja statusu jest niedawna, a otrzymany certyfikat jest zgodny z żądanym.
Zasady protokołu bezpieczeństwa certyfikatów online jako akceptowanego standardowego formatu zostały stworzone w czerwcu 1999 roku w ramach większej próby stworzenia struktury otaczającej zarządzanie certyfikatami. Protokół został opracowany przez Network Working Group, z udziałem przedstawicieli firm VeriSign, CertCo, ValiCert, My CFO i Entrust Technologies.
Każdy wystawca certyfikatu bezpieczeństwa podpisał akceptację tego protokołu i wbudowuje dodatkowe funkcje do swojej konkurencyjnej oferty produktów, jednocześnie utrzymując wymaganą infrastrukturę. To właśnie współpraca tych konkurencyjnych firm ma na celu stworzenie i przestrzeganie standardowej praktyki, która pozwoliła tej branży zyskać szeroką akceptację.
Protokół bezpieczeństwa certyfikatów online obejmuje szeroki zakres tematów, w tym dozwolone odpowiedzi z programu uwierzytelniania certyfikatów, wymaganą składnię, opracowywanie standardowych komunikatów o błędach, wytyczne dotyczące archiwizacji oraz sposoby zarządzania kwestiami bezpieczeństwa i odpowiednimi odpowiedziami.