Certificato di risponditore OCSP: punti di distribuzione CRL e URI di AIA OCSP

Question

Certificato di risponditore OCSP: punti di distribuzione CRL e URI di AIA OCSP

#1 da (3 voti)

3

Sto creando un risponditore OCSP e devo emettere il certificato firmatario OCSP dalla CA che verrà utilizzato per firmare le risposte OCSP.

In una definizione di profilo certificato per certificato firmatario OCSP, dovrei definire i punti di distribuzione CRL o l'URI OCS AIA?

Per quanto riguarda l'URI OCSP, ritengo che non abbia alcun senso in quanto punterebbe allo stesso URI in cui sono state firmate le risposte con lo stesso certificato OCSP. Quindi non posso fidarmi della risposta OCSP quando chiedo se il certificato firmatario OCSP è valido.

Utilizzare i punti di distribuzione CRL può essere utile in modo che chiunque può verificare se il certificato del firmatario OCSP è valido attraverso un percorso (canale) diverso.

Ha senso che il certificato firmato da OCSP includa i punti di distri- buzione CRL e l'URI OCSP?

public-key-infrastructure certificates certificate-authority ocsp crl

posta user1563721 20.12.2016 - 08:14

fonte

1 risposta

Leggi altre domande sui tag public-key-infrastructure certificates certificate-authority ocsp crl

AH in modalità tunneling fornisce la crittografia? Usa la password per calcolare il checksum per le richieste API

score 3 · Accepted Answer

In a definition of certificate profile for OCSP Signer certificate, should I define CRL distribution points or AIA OCSP URI?

L'RFC 6960 consente tale configurazione, ma in pratica non vi è alcun vantaggio reale, poiché avrete a disposizione un'altra fonte di terze parti per convalidare il certificato di firma OCSP. Quando il certificato di firma OCSP include l'estensione del certificato id-pkix-ocsp-nocheck , non è convalidato per la revoca.