Sto cercando di capire i dettagli della pinzatura OCSP e come funziona. Come spesso il modo migliore è, ho avviato Wireshark e ho fatto una semplice richiesta a un server che ha abilitato la pinzatura OCSP.
Qualcuno può chiarire i seguenti dubbi che ho?
-
Richiesta
Dati di estensione del cliente Hello:In Wireshark vedo l'estensione ciao del client come sotto
Extension: status_request Type: status_request (0x0005) Length: 5 Certificate Status Type: OCSP (1) Responder ID list Length: 0 Request Extensions Length: 0
Capisco la presenza dei primi due campi. Ma perché abbiamo bisogno del prossimo 3 (
Certificate Status Type
,Responder ID list Length
,Request Extensions Length
) poiché sono0
comunque. Che tipo di dati possono contenere e come si suppone che il server elabori i dati in questi campi? -
risposta
Parte della risposta è:Certificate Status Type: OCSP (1) ResponseType Id: 1.3.6.1.5.5.7.48.1.1 (id-pkix-ocsp-basic) BasicOCSPResponse tbsResponseData responderID: byKey (2) byKey: f2026c2ad426a4a59cb2505b3962446034151e5b
Quali sono i campi
byKey
eResponseType ID
? E come dovrebbe il cliente elaborare lo stesso? Il cliente deve abbinare ilCertificate status type
a ciò che è stato inviato nel client ciao? -
a catena?
Comprendo che i controlli di revoca devono essere eseguiti per tutti i certificati della catena. In che modo si adatta alla pinzatura? Stiamo facendo una stretta di mano solo una volta. Il server è responsabile del mantenimento dello stato di revoca di tutti i certificati nella catena?