Estoy creando el respondedor de OCSP y necesito emitir un certificado de firmante de OCSP de CA que se usará para firmar las respuestas de OCSP.
En una definición de perfil de certificado para el certificado de firmante de OCSP, ¿debo definir los puntos de distribución de CRL o el URI de OCSP de AIA?
En cuanto al URI de OCSP, creo que no tiene ningún sentido, ya que estaría apuntando al mismo URI donde se firman las respuestas con el mismo certificado de OCSP. Entonces no puedo confiar en la respuesta de OCSP cuando pregunto si el certificado de firmante de OCSP es válido.
El uso de puntos de distribución de CRL puede ser útil para que cualquier persona pueda verificar si el certificado de firmante de OCSP es válido a través de una ruta diferente (canal).
¿Tiene sentido que el certificado firmado por OCSP incluya puntos de distribución de CRL y URI de OCSP?