Estoy probando la verificación de OCSP, y no estoy seguro de estar siguiendo todo lo que está pasando.
El solicitante puede enviar ID de certificado 1-N, cada uno tiene hashes / número de serie del emisor. El respondedor genera la contra-lista, donde para cada elemento solicitado, hay una respuesta sobre el estado de OCSP. Además, toda la respuesta está firmada.
Podemos decir que, para cada elemento de solicitud / respuesta, existen las siguientes variables:
- Emisor (puede ser diferente para cada artículo solicitado)
- Certificado de Respuesta (solo hay UNO por respuesta completa)
- Responder certificado de CA (solo hay UNO por respuesta completa)
OpenSSL (de ocsp(1ssl) ) dice lo siguiente sobre el proceso de verificación:
- Comprueba Responder contra la confianza local. Esto es solo la verificación X.509 estándar.
- Si Emisor = Servicio de respuesta , señal de éxito.
- Si Emisor = Respondedor CA , y hay OCSPSigning EKU en Responder , señal de éxito
- Si Responder CA tiene OCSPSigning EKU, entonces señal de éxito.
- Fracasa miserablemente.
Lo que más me confunde es que parece que es posible incluir diferentes emisores en la solicitud, pero solo puede haber un respondedor o su CA en la respuesta. Por lo tanto, los controles # 2 y # 3 son imposibles de satisfacer en todos los casos posibles (comparando multitud de emisores con un solo respondedor). ¿Me estoy perdiendo algún punto aquí?