Ha senso che OCSP restituisca lo stato per il firmatario CA stesso

No, dove negli standard che posso ricordare (ho contribuito al 2560 e sono un autore di 5019) dice che non puoi rispondere a te stesso, che come hai sottolineato, è inutile perché non ti fidi del risposta in questo scenario.

Sei sicuro che sia quello che stai vedendo? ricorda che OCSP "buono" non significa emesso significa "non revocato".

Se chiedi a un risponditore una domanda fuori campo, puoi tornare "buono" anche se il certificato non è mai stato rilasciato. Una teoria sul perché stai vedendo quello che descrivi è che stai chiedendo al risponditore ocsp per il rilascio di ca utilizzando uno strumento di test anche se nessun cliente dovrebbe mai porre questa domanda.

Anche in teoria in questo caso ci si aspetterebbe che lo stesso certificato di emissione contenga un riferimento aia: ocsp: url ma a un risponditore ocsp differente.

In ogni caso, quello che stai vedendo non è giusto, come sottolineo spero che sia un problema con il test, se non lo farei notificare all'operatore del risponditore di verificare la sua conformità e interoperabilità rfc in quanto vi sono probabilmente anche altri problemi se questo è il caso.

Penso che la logica abbia un difetto relativo a chi fornisce il servizio OCSP, ovvero la stessa CA. L'URI del servizio OCSP viene fornito come parte del processo del certificato e gestito dalla CA. Affinché il tuo suggerimento funzioni, l'AC dovrebbe spendere denaro per supportare un servizio OCSP per dichiarare al mondo che non è una CA valida.

Le forze di mercato suggeriscono che questo non accadrà mai. Le stesse forze del mercato che probabilmente hanno motivato la CA a entrare nel business e quindi a prendere scorciatoie che hanno portato alla necessità di revocare tale CA.