Il risponditore OCSP controlla solo lo stato del certificato particolare che è specificato nella richiesta OCSP. Il rispondente ignorerà il resto della catena.
Un browser può scegliere di inviare più richieste OCSP per verificare ogni certificato mentre attraversa la catena, ma questo è attualmente implementato in modo dipendente dal browser tra i diversi fornitori ed è ulteriormente confuso dal fatto che i browser memorizzeranno nella cache i certificati intermedi serviti da server SSL arbitrari e li riutilizzeranno in catene per diversi certificati foglia. Alcuni browser cercheranno anche di scaricare automaticamente intermedi aggiornati da terze fonti, anche quando il server SSL ne sta inviando uno più vecchio. Tuttavia, va notato che in generale (allo stato attuale), i certificati intermedi non sono per lo più impostati per avere informazioni OCSP, quindi è improbabile che siano comunque verificabili da OCSP.
Su una nota correlata, c'è una nuova parte della specifica che consente a un browser di richiedere più controlli OCSP all'interno dello stesso post HTTP - con l'intenzione di consentire il controllo degli intermedi insieme alla foglia-- ma nulla ancora supporta questo, e probabilmente è supportato solo sui server che utilizzano la pinzatura OCSP (Apache 2.4+, ecc.), altrimenti il carico risultante su un risponditore OCSP per un certificato intermedio, senza pinzatura, è probabile che lo faccia cadere dritto al di sopra di. (Con un certificato intermedio che firma centinaia di migliaia di foglie, immagina quanto sarebbe duro per le richieste di revoca, senza il beneficio di un supporto diffuso del caching distribuito che la pinzatura porterà).
I certificati radice, ovviamente, non possono essere controllati da OCSP. Sono firmati da soli, quindi se la fiducia è andata, non c'è nessun posto dove guardare, e basta rimuovere il certificato di root dal client.
Grazie per la vostra risposta, è stato molto utile. – Anthony
aggiornato con un po 'di informazioni aggiuntive – Cheekysoft
Se il numero di serie di un certificato autofirmato di una radice si è presentato sul proprio CRL (o il suo stato è venuto come revocato in una risposta OCSP ecc.) Ci si fiderebbe ancora della radice? – Ram