La mia comprensione primitiva di OCSP è la seguente:
- Le asserzioni sono firmate dalla CA e valide per un breve periodo.
- La pinzatura si riferisce alla pratica di spingere il lavoro di richiesta OCSP sul server web e quindi di memorizzare la risposta (firmata CA) e di sputarla ai client usando l'estensione "richiesta di stato".
- Il server OCSP potrebbe essere inattivo, nel qual caso potrebbe non essere possibile ottenere una risposta corretta alla graffatura.
Vedo che OpenSSL segnala che il server sta inviando questi dati OCSP:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: trylater (0x3)
======================================
Perché questo mai potrebbe succedere? Sicuramente il server web dovrebbe inviare l'ultima valid , risposta OCSP riuscita che ha memorizzato nella cache? L'inferno, non sta inviando niente (e avendo il browser fare la richiesta stessa) preferibile alla pinzatura di trylater?