1. casa
  2. Domanda e risposta
  3. Controllo revoca OCSP su tutta la catena di certificati

Controllo revoca OCSP su tutta la catena di certificati

2012-05-04 35 views
5

Quando si richiede a un server OCSP di verificare lo stato di revoca di un certificato, controlla automaticamente lo stato di revoca dell'intera catena?Controllo revoca OCSP su tutta la catena di certificati

i.e: se dice che il cert è "buono", significa che l'intera catena è buona?

Ho letto le specifiche: http://www.ietf.org/rfc/rfc2560.txt

ma sembra ancora chiaro per me.

Wikipedia fa menzione richieste OCSP concatenati:

http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

fonte

2012-05-04 Anthony

risposta

7

Il risponditore OCSP controlla solo lo stato del certificato particolare che è specificato nella richiesta OCSP. Il rispondente ignorerà il resto della catena.

Un browser può scegliere di inviare più richieste OCSP per verificare ogni certificato mentre attraversa la catena, ma questo è attualmente implementato in modo dipendente dal browser tra i diversi fornitori ed è ulteriormente confuso dal fatto che i browser memorizzeranno nella cache i certificati intermedi serviti da server SSL arbitrari e li riutilizzeranno in catene per diversi certificati foglia. Alcuni browser cercheranno anche di scaricare automaticamente intermedi aggiornati da terze fonti, anche quando il server SSL ne sta inviando uno più vecchio. Tuttavia, va notato che in generale (allo stato attuale), i certificati intermedi non sono per lo più impostati per avere informazioni OCSP, quindi è improbabile che siano comunque verificabili da OCSP.

Su una nota correlata, c'è una nuova parte della specifica che consente a un browser di richiedere più controlli OCSP all'interno dello stesso post HTTP - con l'intenzione di consentire il controllo degli intermedi insieme alla foglia-- ma nulla ancora supporta questo, e probabilmente è supportato solo sui server che utilizzano la pinzatura OCSP (Apache 2.4+, ecc.), altrimenti il ​​carico risultante su un risponditore OCSP per un certificato intermedio, senza pinzatura, è probabile che lo faccia cadere dritto al di sopra di. (Con un certificato intermedio che firma centinaia di migliaia di foglie, immagina quanto sarebbe duro per le richieste di revoca, senza il beneficio di un supporto diffuso del caching distribuito che la pinzatura porterà).

I certificati radice, ovviamente, non possono essere controllati da OCSP. Sono firmati da soli, quindi se la fiducia è andata, non c'è nessun posto dove guardare, e basta rimuovere il certificato di root dal client.

fonte

2012-05-04 15:12:35 Cheekysoft

+0

Grazie per la vostra risposta, è stato molto utile. – Anthony

+0

aggiornato con un po 'di informazioni aggiuntive – Cheekysoft

+0

Se il numero di serie di un certificato autofirmato di una radice si è presentato sul proprio CRL (o il suo stato è venuto come revocato in una risposta OCSP ecc.) Ci si fiderebbe ancora della radice? – Ram

Problemi correlati

 Problemi correlati