Spletni varnostni protokol potrdil je standard, na podlagi katerega so zgrajene aplikacije za izdajo potrdil in preverjanje pristnosti. Protokol natančno navaja, katere informacije je treba zagotoviti za pridobitev statusa potrdila in identifikacijo izvornega strežnika.
Ko se strežnik poskuša povezati z zaščitenim računalnikom, pride do izmenjave potrdil. Za preverjanje pristnosti certifikata obstaja standardni nabor informacij, ki jih je treba izmenjati in preveriti. Varnostni protokol spletnega potrdila navaja, kaj so te informacije in v kakšni obliki jih je treba posredovati. Vsak prenos mora vključevati različico protokola, zahtevo strežnika in ciljni identifikator potrdila. Obstajajo tudi izbirne razširitve, ki jih lahko sprejme spletni odzivnik varnostnega protokola potrdil.
Ko odzivnik varnostnega protokola spletnega potrdila prejme zahtevo, preveri, ali je sporočilo pravilno oblikovano, ali so zahtevani strežniki na voljo pri odzivniku in ali so zahtevane informacije vključene. Če ne, se pošiljatelju pošlje sporočilo o napaki.
Protokol zagotavlja minimalne standarde in vključuje podrobnosti o vseh možnih odgovorih. Vsi odgovori iz sprejetih potrdil morajo imeti eno od naslednjega; podpis izvornega overitelja potrdil, zaupanja vredne tretje osebe ali odgovornega osebe, ki je pooblaščena za preverjanje pristnosti potrdil, ki je ustrezno pooblaščena za obdelavo teh zahtev.
Varnostni protokol spletnega potrdila lahko primerjamo z ključavničarsko industrijo. Čeprav obstaja širok nabor podjetij za ključavnice, ključnih podjetij in varnostnih možnosti, obstajajo osnovne funkcije, ki so skladne v celotni panogi, sprejeti standardi so osnova za te sporazume.
Sporočilo pozitivnega odgovora ima različico odgovora, ime odzivnika, vključene odgovore, morebitne izbirne razširitve, podpis algoritma in podpis, izračunan vzdolž zgoščevanja odgovora. V odgovoru je vključen status potrdila in na voljo so tri možnosti; dobro, preklicano in neznano.
Odjemalec varnostnega protokola spletnega potrdila je odgovoren za potrditev, da je podpisani odgovor veljaven, da se podpisnik ujema s prejemnikom, da je podpisnik pooblaščen, ko je bila posodobitev statusa nedavna in prejeto potrdilo se ujema z zahtevanim.
Pravila spletnega varnostnega protokola potrdil kot sprejetega standardnega formata so bila ustvarjena junija 1999 kot del večjega poskusa ustvarjanja okvira, ki obkroža upravljanje potrdil. Protokol je razvila delovna skupina Network Working Group s predstavniki VeriSign, CertCo, ValiCert, My CFO in Entrust Technologies.
Vsak izdajatelj varnostnega potrdila je podpisal, da sprejema ta protokol in vgrajuje dodatne funkcije v svojo konkurenčno ponudbo izdelkov, hkrati pa ohranja zahtevano infrastrukturo. Sodelovanje teh konkurenčnih podjetij pri ustvarjanju in spoštovanju standardne prakse je omogočilo, da je ta industrija pridobila široko sprejetje.
Spletni varnostni protokol potrdil pokriva širok spekter tem, vključno z dovoljenimi odgovori programa za preverjanje pristnosti potrdil, zahtevano sintakso, razvojem standardnih sporočil o napakah, smernicami za arhiviranje ter načinom upravljanja varnostnih pomislekov in ustreznih odzivov.