Devo testare la funzionalità OCSP su un server SSL. Dato che ora è una funzionalità piuttosto standard, stavo cercando consigli sui piani di test / impostazione del risponditore OCSP ecc.
Un risponditore OCSP non fa parte di un server SSL; è gestito dalla Autorità di certificazione che ha emesso il certificato per il server SSL. Infatti, il risponditore OCSP pubblica informazioni sullo stato di revoca dei certificati, ed è la CA che sceglie quale certificato viene revocato e quale no.
Pertanto, i risponditori OCSP di solito vengono con il software per la gestione della CA. Si veda ad esempio EJBCA , una PKI Open Source, fornita con il proprio risponditore OCSP. Ci sono anche responder standalone, che si nutrono di CRL prodotti dalla CA; vedi ad esempio questo .
In ogni caso, un risponditore OCSP è valido solo se i validatori parlano con lui. Il software che tenta di convalidare un certificato, in particolare un browser Web che funge da client sul server, utilizzerà un determinato risponditore OCSP solo se sa che esiste e dove trovarlo. In pratica, ciò significa che l'URL del risponditore OCSP deve essere incluso nel certificato stesso, come parte di un Estensione di accesso alle informazioni dell'autorità . Naturalmente, spetta alla CA includere o meno tale estensione nel certificato, quando la emette.
I client (ad esempio i browser) durante l'invio del client estesoHello durante l'handshake di ssl, dovrebbero fornire i risponditori ID OCSP di cui si fidano. Se il client non fornisce il responderID, verranno utilizzati i responder noti al server. seleziona " richiesta di stato del certificato " in rfc 6066.
Leggi altre domande sui tag public-key-infrastructure certificates ocsp