Certificado de Servicio de respuesta OCSP: puntos de distribución de CRL y URI OCSP de AIA

3

Estoy creando el respondedor de OCSP y necesito emitir un certificado de firmante de OCSP de CA que se usará para firmar las respuestas de OCSP.

En una definición de perfil de certificado para el certificado de firmante de OCSP, ¿debo definir los puntos de distribución de CRL o el URI de OCSP de AIA?

En cuanto al URI de OCSP, creo que no tiene ningún sentido, ya que estaría apuntando al mismo URI donde se firman las respuestas con el mismo certificado de OCSP. Entonces no puedo confiar en la respuesta de OCSP cuando pregunto si el certificado de firmante de OCSP es válido.

El uso de puntos de distribución de CRL puede ser útil para que cualquier persona pueda verificar si el certificado de firmante de OCSP es válido a través de una ruta diferente (canal).

¿Tiene sentido que el certificado firmado por OCSP incluya puntos de distribución de CRL y URI de OCSP?

    
pregunta user1563721 20.12.2016 - 08:14
fuente

1 respuesta

3
  

En una definición de perfil de certificado para el certificado de firmante de OCSP, ¿debo definir los puntos de distribución de CRL o el URI de OCSP de AIA?

RFC 6960 permite dicha configuración, sin embargo, en la práctica no existe un beneficio real, ya que tendrá otra fuente de terceros para validar el certificado de firma OCSP. Cuando el certificado de firma de OCSP incluye la extensión del certificado id-pkix-ocsp-nocheck , no se valida para su revocación.

    
respondido por el Crypt32 20.12.2016 - 10:10
fuente