Nuestra firma quiere validar certificados utilizando OCSP en sus sucursales. Sin embargo, cuando el respondedor de OCSP, como se define en el certificado, está inactivo, quieren recurrir a las CRL, lo que es lo correcto para hacer imo.
Entonces, debido a que queremos centralizar nuestras CRL, ¿podemos anular la URL de OCSP para usar un respondedor interno de OCSP que luego verifique localmente con las CRL?
¿Es esto técnicamente viable?
Saludos cordiales, Ti.
Eche un vistazo a OCSP Stapling que se creó para mitigar el problema de que el respondedor de OCSP esté inactivo o no esté disponible.
el titular del certificado (el servidor web) consulta el servidor OCSP a intervalos regulares, obteniendo una respuesta de OCSP con sello de tiempo y firmada. Cuando los visitantes del sitio intentan conectarse al sitio, esta respuesta se incluye ("engrapada") con el protocolo de enlace TLS / SSL a través de la respuesta de extensión de Solicitud de estado del certificado
Todos los principales navegadores y servidores web admiten el grapado OCSP.
En la medida en que el respondedor OCSP verifique la lista de CRL, esto es técnicamente posible, pero puede provocar problemas de rendimiento si su lista de CRL se vuelve muy grande. Lo ideal sería que su lista de CRL se almacene en una base de datos indexada de algún tipo que pueda ser consultada eficientemente por su respondedor OCSP.
En lugar de rodar su propio respondedor OCSP, sería mejor usar un respondedor comprobado existente que pueda verificar una base de datos indexada que contenga las entradas de la lista de CRL.
Lea otras preguntas en las etiquetas certificates ocsp crl