¿Existe un desequilibrio entre el emisor y el personal de respuesta en la verificación de OCSP?

2

Estoy probando la verificación de OCSP, y no estoy seguro de estar siguiendo todo lo que está pasando.

El solicitante puede enviar ID de certificado 1-N, cada uno tiene hashes / número de serie del emisor. El respondedor genera la contra-lista, donde para cada elemento solicitado, hay una respuesta sobre el estado de OCSP. Además, toda la respuesta está firmada.

Podemos decir que, para cada elemento de solicitud / respuesta, existen las siguientes variables:

  • Emisor (puede ser diferente para cada artículo solicitado)
  • Certificado de Respuesta (solo hay UNO por respuesta completa)
  • Responder certificado de CA (solo hay UNO por respuesta completa)

OpenSSL (de ocsp(1ssl) ) dice lo siguiente sobre el proceso de verificación:

  1. Comprueba Responder contra la confianza local. Esto es solo la verificación X.509 estándar.
  2. Si Emisor = Servicio de respuesta , señal de éxito.
  3. Si Emisor = Respondedor CA , y hay OCSPSigning EKU en Responder , señal de éxito
  4. Si Responder CA tiene OCSPSigning EKU, entonces señal de éxito.
  5. Fracasa miserablemente.

Lo que más me confunde es que parece que es posible incluir diferentes emisores en la solicitud, pero solo puede haber un respondedor o su CA en la respuesta. Por lo tanto, los controles # 2 y # 3 son imposibles de satisfacer en todos los casos posibles (comparando multitud de emisores con un solo respondedor). ¿Me estoy perdiendo algún punto aquí?

    
pregunta Pawel Veselov 16.08.2016 - 10:42
fuente

0 respuestas

Lea otras preguntas en las etiquetas