dudas de OCSP sobre CA y el servicio de respuesta de OCSP

Question

dudas de OCSP sobre CA y el servicio de respuesta de OCSP

#1 de Steffen Ullrich (2 votos)

0

Mi pregunta es sobre esta imagen. Supongamos que el cliente es Alice y el servidor es Bob. Entonces, básicamente, estoy tratando de configurar un escenario ... Tengo un servidor remoto (Bob) que tiene un sitio web https. Hago: openssl s_client -connect host:443 -status -CApath /etc/ssl/certs/ -CAfile /etc/ssl/certs/ca-certificates.crt que me da la respuesta sobre el OCSP. El wireshark solo muestra paquetes entre el servidor y yo ... No hay una CA u otra cosa.

¿Qué estoy haciendo mal o lo que no entiendo? ¿Es la CA el respondedor de OCSP? ¿Cómo obtengo la respuesta?

Si no lo estoy haciendo bien, ¿qué debo cambiar en mi configuración?

public-key-infrastructure certificates certificate-authority openssl ocsp

pregunta PRVS 11.05.2017 - 22:34

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure certificates certificate-authority openssl ocsp

¿Problemas de seguridad del SDK de Javascript de Facebook? cómo cerrar todos los puertos

score 2 · Accepted Answer

Una parte importante de OCSP de la que quizás no esté al tanto es que la respuesta de OCSP está firmada y tiene un tiempo de vida limitado. Esto significa que en realidad no importa de dónde el cliente TLS obtuvo la respuesta de OCSP, ya que la propia respuesta de OCSP se puede verificar independientemente de cómo lo obtuvo el cliente. Esta propiedad se usa dentro del grapado OCSP en ese

El servidor TLS (es decir, el servidor web, el servidor de correo ...) pregunta al contestador de OCSP sobre la validez de su propio certificado.
El respondedor de OCSP devuelve una respuesta de OCSP, que está (directa o indirectamente) firmada por la CA que emitió el certificado de servidores. El servidor TLS puede almacenar en caché esta respuesta de OCSP durante algún tiempo.
El servidor TLS puede incluir esta respuesta OCSP al realizar el protocolo de enlace TLS con el cliente TLS. Esto se llama grapado OCSP.
El cliente TLS puede tratar esta respuesta OCSP grapada de la misma manera que si el cliente le hubiera pedido al contestador OCSP, es decir, verificar la firma y el tiempo de vida de la respuesta OCSP y usarla solo si la firma es válida y la respuesta es no expiró.