OCSP dalla filiale alla sede centrale

0

La nostra azienda desidera convalidare i certificati utilizzando OCSP nelle sue filiali. Tuttavia, quando il risponditore OCSP come definito nel certificato è inattivo, vogliono eseguire il fallback su CRL, che è la cosa giusta da fare imo.

Quindi, perché vogliamo centralizzare i nostri elenchi CRL, possiamo ignorare l'URL di OCSP per utilizzare un risponditore OCSP interno che quindi verifica localmente i CRL?

È tecnicamente fattibile?

Cordiali saluti, Ti.

    
posta Ti. 29.11.2016 - 16:34
fonte

1 risposta

1

Dai un'occhiata a Cucitura OCSP che è stata creata per ridurre il problema del risponditore OCSP inattivo o non disponibile.

the certificate holder (the web server) queries the OCSP server themselves at regular intervals, obtaining a signed time-stamped OCSP response. When the site's visitors attempt to connect to the site, this response is included ("stapled") with the TLS/SSL handshake via the Certificate Status Request extension response

Tutti i principali browser e server Web supportano la pinzatura OCSP.

Finora il risponditore OCSP controlla l'elenco CRL, questo è tecnicamente possibile ma potrebbe portare a problemi di prestazioni se l'elenco CRL diventa molto grande. Idealmente vorrai che la tua lista CRL sia archiviata in un database indicizzato di qualche tipo che possa essere interrogato in modo efficiente dal tuo risponditore OCSP.

Invece di inviare il tuo risponditore OCSP, sarebbe meglio utilizzare un risponditore esistente comprovato in grado di controllare un database indicizzato contenente le voci dell'elenco CRL.

    
risposta data 29.11.2016 - 18:10
fonte

Leggi altre domande sui tag