OCSP dubita di CA e risponditore OCSP

0

La mia domanda riguarda questa immagine. Supponiamo che il cliente sia Alice e che il server sia Bob. Quindi, in pratica, sto cercando di impostare uno scenario ... Ho un server remoto (Bob) con un sito Web https. Faccio: openssl s_client -connect host:443 -status -CApath /etc/ssl/certs/ -CAfile /etc/ssl/certs/ca-certificates.crt che mi dà la risposta su OCSP. Il wireshark mostra solo i pacchetti tra me e il server ... Non ci sono CA o altro.

Cosa sto sbagliando o cosa non sto capendo? La CA è il risponditore OCSP? Come ottengo la risposta?

Se non sto andando bene, cosa devo cambiare nella mia configurazione?

    
posta PRVS 11.05.2017 - 22:34
fonte

1 risposta

2

Una parte importante di OCSP di cui potresti non essere a conoscenza è che la risposta OCSP è firmata e ha una durata limitata. Ciò significa che in realtà non importa da dove il client TLS ha ricevuto la risposta OCSP perché la stessa risposta OCSP può essere verificata indipendentemente da come il client l'ha ricevuta. Questa proprietà viene utilizzata all'interno della cucitura di punti OCSP in quel

  • Il server TLS (cioè server web, server di posta ...) chiede al risponditore OCSP la validità del proprio certificato.
  • Il risponditore OCSP restituisce una risposta OCSP, che è (direttamente o indirettamente) firmata dalla CA che ha rilasciato il certificato dei server. Questa risposta OCSP può essere memorizzata nella cache per qualche tempo dal server TLS.
  • Il server TLS può includere questa risposta OCSP durante l'handshake TLS con il client TLS. Questa operazione è denominata pinzatura OCSP.
  • Il client TLS può trattare questa risposta OCSP graffata nello stesso modo in cui il client avrebbe richiesto al risponditore OCSP, cioè verificare la firma e l'ora di vita sulla risposta OCSP e usarla solo se la firma è valida e la risposta è non scaduto.
risposta data 12.05.2017 - 06:12
fonte