Questa infrastruttura a chiave pubblica è possibile in base al Protocollo di stato dei certificati online RFC 6960 - OCSP, risponditori autorizzati ?
La risposta OCSP per Cert
è firmata con un certificato emesso da Sub CA 2
.
Lettura delle specifiche per la firma di un risponditore autorizzato
- Matches a local configuration of OCSP signing authority for the certificate in question, or
- Is the certificate of the CA that issued the certificate in question, or
- Includes a value of id-kp-OCSPSigning in an extended key usage extension and is issued by the CA that issued the certificate in question as stated above.
Non sono sicuro che questo caso sia consentito. La mia risposta sarà NO , ma è anche presente
Note: For backwards compatibility with RFC 2560 [RFC2560], it is not prohibited to issue a certificate for an Authorized Responder using a different issuing key than the key used to issue the certificate being checked for revocation. However, such a practice is strongly discouraged, since clients are not required to recognize a responder with such a certificate as an Authorized Responder