软考题库
信息安全工程师 · 高频练习

OCSP Stapling 为什么可以减少证书状态查询压力?

中级 单选题 第 703 题 中等 信息安全工程师OCSP Stapling数字证书证书吊销HTTPS
内容整理:软考题库编辑部 最近更新:
题目

在 HTTPS 连接中,客户端需要确认服务器证书是否已被吊销。某方案由服务器提前向 CA 的 OCSP 响应服务获取带签名的证书状态响应,并在 TLS 握手时一并发送给客户端,减少客户端自己再去查询 OCSP 服务的开销。该机制通常称为()。

A OCSP Stapling
B SQL 注入
C NAT 地址转换
D 循环冗余校验 CRC
题目类型:原创高频练习题 用途:用于帮助理解信息安全工程师相关考点和答案解析,不等同于官方真题。
正确答案
A
答案解析

OCSP Stapling 是由服务器预先获取 OCSP 响应,并在 TLS 握手时把该响应附带给客户端的一种机制。这样客户端可以验证服务器提供的、由 CA 签名的证书状态信息,减少对 OCSP 响应服务的直接查询压力和延迟。

选项分析

A

正确。服务器在 TLS 握手中附带已签名 OCSP 响应,是 OCSP Stapling 的典型描述。

B

错误。SQL 注入是数据库输入校验和命令拼接相关漏洞。

C

错误。NAT 用于地址转换,和证书吊销状态查询不是一类问题。

D

错误。CRC 主要用于差错检测,不用于证书状态验证。

本题为什么容易错

容易错在把 OCSP Stapling 理解成服务器自己证明证书有效。真正可信的是 CA 签名过的 OCSP 响应,客户端仍要验证这个响应是否有效、是否对应当前证书、是否在有效时间范围内。

先看结论

简短答案

OCSP Stapling 为什么可以减少证书状态查询压力,正确答案是 A(OCSP Stapling)。OCSP Stapling 是由服务器预先获取 OCSP 响应,并在 TLS 握手时把该响应附带给客户端的一种机制。这样客户端可以验证服务器提供的、由 CA 签名的证书状态信息,减少对 OCSP 响应服务的直接查询压力和延迟。

解析

易混淆概念对比表

概念本题判断区别要点记忆提示
OCSP Stapling 本题正确答案 正确。服务器在 TLS 握手中附带已签名 OCSP 响应,是 OCSP Stapling 的典型描述。 看到题干核心场景时优先联想到它
SQL 注入 本题干扰项 错误。SQL 注入是数据库输入校验和命令拼接相关漏洞。 看到该词不要急着选,先判断是否真正解决题干问题
NAT 地址转换 本题干扰项 错误。NAT 用于地址转换,和证书吊销状态查询不是一类问题。 看到该词不要急着选,先判断是否真正解决题干问题
循环冗余校验 CRC 本题干扰项 错误。CRC 主要用于差错检测,不用于证书状态验证。 看到该词不要急着选,先判断是否真正解决题干问题
本题易混淆选项怎么区分
  • SQL 注入:错误。SQL 注入是数据库输入校验和命令拼接相关漏洞。
  • NAT 地址转换:错误。NAT 用于地址转换,和证书吊销状态查询不是一类问题。
  • 循环冗余校验 CRC:错误。CRC 主要用于差错检测,不用于证书状态验证。
复习

知识点详解

证书吊销检查解决的是“证书还没过期,但是否已经不可信”的问题。OCSP 可以让客户端查询某张证书的当前状态,但大量客户端直接查询会带来延迟、隐私和服务压力。OCSP Stapling 让服务器预取并缓存由 CA 签名的状态响应,再在握手时提供给客户端。软考层面抓住它的作用:减少客户端直接查询 OCSP 的开销,同时保持证书状态可验证。

备考速记

速记:OCSP 是客户端在线问,Stapling 是服务器把签好的答案带来。

OCSP Stapling 在HTTPS场景中的作用

OCSP Stapling在本题中的核心价值,是解决“在 HTTPS 连接中,客户端需要确认服务器证书是否已被吊销。某方案由服务器提前向 CA 的 OCSP 响应服务获取带签名的证书状态响应,并在 TLS 握手时一并发送给客户端,减少客户端自己再去查询 OCSP 服务的开销。该机制通常称为()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。

拓展

同类题怎么考

  • 给出HTTPS场景,判断应该选择哪个概念、工具、协议或管理过程。
  • 考查OCSP Stapling的作用,要求从四个相近选项中找出最符合题干目标的一项。
  • 把OCSP Stapling和SQL 注入、NAT 地址转换、循环冗余校验 CRC放在一起考,重点看适用场景是否一致。
  • 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
OCSP Stapling 在信息安全工程师软考中的考法

软考选择题通常不会只考概念定义,还会把OCSP Stapling放到HTTPS场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。

解题思路

这题和普通 OCSP 的区别在于谁去问。普通理解是客户端在线问证书状态;OCSP Stapling 则是服务器提前问好,把带签名的状态证明随握手带过来。老师讲证书吊销时会提醒:它不是让服务器自己说“我没问题”,而是服务器转交 CA 签过名的状态响应。

考点定位

OCSP 是在线问证书状态;OCSP Stapling 是服务器把已签名的状态响应 stapled 到握手里给客户端。

易错提醒

  • 认为证书没过期就不需要检查吊销状态。
  • 把 OCSP Stapling 当成新的加密算法。
  • 忽略服务器提供的 OCSP 响应仍然需要客户端验证签名和有效期。

备考提示

  • PKI 题建议按证书链、有效期、域名匹配、吊销检查四步复盘。
  • CRL 是列表,OCSP 是在线问状态,OCSP Stapling 是服务器把状态响应带过来。
  • 看到 TLS 握手中附带证书状态响应,优先想到 OCSP Stapling。

你可能还想了解

  • OCSP Stapling 为什么可以减少证书状态查询压力?
  • OCSP Stapling是什么?
  • OCSP Stapling在信息安全工程师考试中怎么考?
  • 信息安全工程师OCSP Stapling题怎么理解?
  • OCSP Stapling有什么作用怎么考?
  • OCSP Stapling和OCSP区别怎么考?

本文小结

本题核心考点是OCSP Stapling在HTTPS场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(OCSP Stapling)。