1. дома
  2. Вопрос и ответ
  3. Отказ OCSP Проверить всю цепочку сертификатов

Отказ OCSP Проверить всю цепочку сертификатов

2012-05-04 2 views
5

Когда вы запрашиваете сервер OCSP для проверки статуса отзыва сертификата, автоматически ли он проверяет статус отзыва всей цепочки?Отказ OCSP Проверить всю цепочку сертификатов

i.e: если он говорит, что сертификат «хорош», значит ли это, что вся цепочка хороша?

Я прочитал спецификации: http://www.ietf.org/rfc/rfc2560.txt

но все еще кажется неясным для меня.

Википедия упоминает сцепленные запросы OCSP:

http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

источник

2012-05-04 Anthony

ответ

7

OCSP ответчик будет только проверить статус конкретного сертификата, указанный в запросе OCSP. Ответчик будет игнорировать остальную часть цепи.

Браузер может выбрать отправку нескольких запросов OCSP, чтобы проверить каждый сертификат по мере продвижения по цепочке, но в настоящее время он реализован в зависимости от браузера между различными поставщиками и еще больше смущен тем, что браузеры будут кэшировать промежуточные сертификаты, обслуживаемые произвольными серверами SSL, и повторно использовать их в цепочках для разных листовых сертификатов. Некоторые браузеры даже попытаются автоматически загружать обновленные промежуточные продукты из третьих источников, даже если сервер SSL отправляет более старую версию. Однако следует отметить, что в целом (в настоящее время) промежуточные сертификаты в основном не настроены для получения информации OCSP, так что маловероятно, что они вообще могут быть проверены OCSP.

В соответствующей заметке есть новая часть спецификации, которая позволяет браузеру запрашивать несколько проверок OCSP в пределах одного и того же HTTP-сообщения - с целью разрешить проверку промежуточных элементов вместе с листом - но пока ничего не поддерживает, и это, вероятно, будет поддерживаться только на серверах, в которых используется сшивание OCSP (Apache 2.4+ и т. д.), в противном случае результирующая нагрузка на ответчика OCSP для промежуточного сертификата без сшивания, скорее всего, над. (С промежуточным сертификатом, подписывающим сотни тысяч листов, представьте, как сильно его ударят по запросам аннулирования, без выгоды от широко распространенной поддержки распределенного кэширования, которое принесет сшивание).

Коренные сертификаты, конечно, не могут быть проверены OCSP. Они подписаны сами по себе, поэтому, если доверие ушло, искать некуда, и вам просто нужно удалить корневой сертификат от клиента.

источник

2012-05-04 15:12:35 Cheekysoft

+0

Благодарим за отзыв, это было очень полезно. – Anthony

+0

обновлено немного дополнительной информацией – Cheekysoft

+0

Если серийный номер самозаверяющего сертификата root появился в его собственном CRL (или его статус пришел, как отменено в ответ OCSP и т. Д.), Можете ли вы доверять корню? – Ram

Смежные вопросы

 Смежные вопросы