Certificato di risponditore OCSP: punti di distribuzione CRL e URI di AIA OCSP

3

Sto creando un risponditore OCSP e devo emettere il certificato firmatario OCSP dalla CA che verrà utilizzato per firmare le risposte OCSP.

In una definizione di profilo certificato per certificato firmatario OCSP, dovrei definire i punti di distribuzione CRL o l'URI OCS AIA?

Per quanto riguarda l'URI OCSP, ritengo che non abbia alcun senso in quanto punterebbe allo stesso URI in cui sono state firmate le risposte con lo stesso certificato OCSP. Quindi non posso fidarmi della risposta OCSP quando chiedo se il certificato firmatario OCSP è valido.

Utilizzare i punti di distribuzione CRL può essere utile in modo che chiunque può verificare se il certificato del firmatario OCSP è valido attraverso un percorso (canale) diverso.

Ha senso che il certificato firmato da OCSP includa i punti di distri- buzione CRL e l'URI OCSP?

    
posta user1563721 20.12.2016 - 08:14
fonte

1 risposta

3

In a definition of certificate profile for OCSP Signer certificate, should I define CRL distribution points or AIA OCSP URI?

L'RFC 6960 consente tale configurazione, ma in pratica non vi è alcun vantaggio reale, poiché avrete a disposizione un'altra fonte di terze parti per convalidare il certificato di firma OCSP. Quando il certificato di firma OCSP include l'estensione del certificato id-pkix-ocsp-nocheck , non è convalidato per la revoca.

    
risposta data 20.12.2016 - 10:10
fonte