Una risposta OCSP può essere emessa da un subca della CA radice che ha emesso il certificato?

1

Questa infrastruttura a chiave pubblica è possibile in base al Protocollo di stato dei certificati online RFC 6960 - OCSP, risponditori autorizzati ?

La risposta OCSP per Cert è firmata con un certificato emesso da Sub CA 2 .

Lettura delle specifiche per la firma di un risponditore autorizzato

  1. Matches a local configuration of OCSP signing authority for the certificate in question, or
  2. Is the certificate of the CA that issued the certificate in question, or
  3. Includes a value of id-kp-OCSPSigning in an extended key usage extension and is issued by the CA that issued the certificate in question as stated above.

Non sono sicuro che questo caso sia consentito. La mia risposta sarà NO , ma è anche presente

Note: For backwards compatibility with RFC 2560 [RFC2560], it is not prohibited to issue a certificate for an Authorized Responder using a different issuing key than the key used to issue the certificate being checked for revocation. However, such a practice is strongly discouraged, since clients are not required to recognize a responder with such a certificate as an Authorized Responder

    
posta pedrofb 09.01.2017 - 11:02
fonte

1 risposta

2

Hai appena risposto alla tua domanda, è possibile (anche se strongmente scoraggiato). Anche i client conformi a RFC6960 dovrebbero supportare questo scenario.

Ad esempio, Microsoft CryptoAPI consente questo scenario anche quando il certificato di firma OCSP si collega a una radice diversa (che deve essere attendibile) per impostazione predefinita. Fonte: Novità nella revoca dei certificati in Windows Vista e Windows Server 2008

Windows Vista SP1 and Windows Server 2008 enable the OCSP signing certificate implemented by the OCSP responder to use a certificate that terminates in a different root CA than the CA whose revocation information is reported in the OCSP responses. This feature enables an organization with a diverse PKI to limit sources of revocation information and the CAs that can issue OCSP signing certificates.

Microsoft non supporta completamente RFC2560 né RFC6960, perché si basano sulla propria RFC5019 in reagrds su OCSP.

Ciò significa che è necessario prendere in considerazione gli ambienti di distribuzione e le loro specifiche.

    
risposta data 09.01.2017 - 11:41
fonte

Leggi altre domande sui tag