OCSP ответчик будет только проверить статус конкретного сертификата, указанный в запросе OCSP. Ответчик будет игнорировать остальную часть цепи.
Браузер может выбрать отправку нескольких запросов OCSP, чтобы проверить каждый сертификат по мере продвижения по цепочке, но в настоящее время он реализован в зависимости от браузера между различными поставщиками и еще больше смущен тем, что браузеры будут кэшировать промежуточные сертификаты, обслуживаемые произвольными серверами SSL, и повторно использовать их в цепочках для разных листовых сертификатов. Некоторые браузеры даже попытаются автоматически загружать обновленные промежуточные продукты из третьих источников, даже если сервер SSL отправляет более старую версию. Однако следует отметить, что в целом (в настоящее время) промежуточные сертификаты в основном не настроены для получения информации OCSP, так что маловероятно, что они вообще могут быть проверены OCSP.
В соответствующей заметке есть новая часть спецификации, которая позволяет браузеру запрашивать несколько проверок OCSP в пределах одного и того же HTTP-сообщения - с целью разрешить проверку промежуточных элементов вместе с листом - но пока ничего не поддерживает, и это, вероятно, будет поддерживаться только на серверах, в которых используется сшивание OCSP (Apache 2.4+ и т. д.), в противном случае результирующая нагрузка на ответчика OCSP для промежуточного сертификата без сшивания, скорее всего, над. (С промежуточным сертификатом, подписывающим сотни тысяч листов, представьте, как сильно его ударят по запросам аннулирования, без выгоды от широко распространенной поддержки распределенного кэширования, которое принесет сшивание).
Коренные сертификаты, конечно, не могут быть проверены OCSP. Они подписаны сами по себе, поэтому, если доверие ушло, искать некуда, и вам просто нужно удалить корневой сертификат от клиента.
Благодарим за отзыв, это было очень полезно. – Anthony
обновлено немного дополнительной информацией – Cheekysoft
Если серийный номер самозаверяющего сертификата root появился в его собственном CRL (или его статус пришел, как отменено в ответ OCSP и т. Д.), Можете ли вы доверять корню? – Ram