La nostra azienda desidera convalidare i certificati utilizzando OCSP nelle sue filiali. Tuttavia, quando il risponditore OCSP come definito nel certificato è inattivo, vogliono eseguire il fallback su CRL, che è la cosa giusta da fare imo.
Quindi, perché vogliamo centralizzare i nostri elenchi CRL, possiamo ignorare l'URL di OCSP per utilizzare un risponditore OCSP interno che quindi verifica localmente i CRL?
È tecnicamente fattibile?
Cordiali saluti, Ti.
Dai un'occhiata a Cucitura OCSP che è stata creata per ridurre il problema del risponditore OCSP inattivo o non disponibile.
the certificate holder (the web server) queries the OCSP server themselves at regular intervals, obtaining a signed time-stamped OCSP response. When the site's visitors attempt to connect to the site, this response is included ("stapled") with the TLS/SSL handshake via the Certificate Status Request extension response
Tutti i principali browser e server Web supportano la pinzatura OCSP.
Finora il risponditore OCSP controlla l'elenco CRL, questo è tecnicamente possibile ma potrebbe portare a problemi di prestazioni se l'elenco CRL diventa molto grande. Idealmente vorrai che la tua lista CRL sia archiviata in un database indicizzato di qualche tipo che possa essere interrogato in modo efficiente dal tuo risponditore OCSP.
Invece di inviare il tuo risponditore OCSP, sarebbe meglio utilizzare un risponditore esistente comprovato in grado di controllare un database indicizzato contenente le voci dell'elenco CRL.
Leggi altre domande sui tag certificates ocsp crl