Mi comprensión primitiva de OCSP es que:
- Las afirmaciones están firmadas por la CA y son válidas por un período corto.
- Grapado se refiere a la práctica de insertar el trabajo de solicitud de OCSP en el servidor web, y luego almacenar en caché la respuesta (firmada por CA) y escupirla a los clientes mediante la extensión de "solicitud de estado".
- Es posible que el servidor OCSP esté inactivo, en cuyo caso es posible que no se pueda obtener una respuesta correcta para grapar.
Estoy viendo el informe de OpenSSL de que el servidor está enviando estos datos de OCSP:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: trylater (0x3)
======================================
¿Por qué sucedería esto alguna vez ? Seguramente, el servidor web debería enviar el último válido , ¿respuesta OCSP exitosa que haya almacenado en caché? Demonios, ¿no es preferible no enviar nada (y hacer que el navegador haga la solicitud por sí mismo) es preferible a grapar el trylater?