Tengo que probar la función OCSP en un servidor SSL. Ya que es una característica bastante estándar ahora, estaba buscando sugerencias sobre planes de prueba / configuración de respondedor OCSP, etc.
Un respondedor OCSP no es parte de un servidor SSL; es mantenido por la Autoridad de Certificación que emitió el certificado para el servidor SSL. De hecho, el respondedor de OCSP publica información sobre el estado de revocación de los certificados, y es la CA quien elige qué certificado se revoca y cuál no.
Por lo tanto, los respondedores de OCSP generalmente vienen con el software para administrar la CA. Consulte, por ejemplo, EJBCA , una PKI de código abierto, que viene con su propio respondedor OCSP. También hay respondedores independientes, que se alimentan de las CRL producidas por la CA; ver, por ejemplo, este .
De cualquier manera, un respondedor OCSP solo es bueno en la medida en que los validadores hablan con él. El software que intenta validar un certificado, en particular un navegador web que actúa como cliente en su servidor, utilizará un respondedor OCSP determinado solo si sabe que existe y dónde encontrarlo. En la práctica, esto significa que la URL del respondedor de OCSP debe incluirse en el propio certificado, como parte de un Autoridad de acceso a la información extensión. Por supuesto, le corresponde a la CA incluir, o no, dicha extensión en el certificado, cuando la emita.
Se supone que los clientes (por ejemplo, los navegadores) mientras envían el clientHello extendido durante el protocolo de enlace ssl, deben proporcionar los ID de respuesta de OCSP en los que confían. Si el cliente no proporciona el ID de respuesta, se utilizarán los respondedores conocidos por el servidor. marque " solicitud de estado del certificado " en rfc 6066.
Lea otras preguntas en las etiquetas public-key-infrastructure certificates ocsp