Протоколы безопасного сетевого взаимодействия

       

Ответы OCSP


Ответы OCSP могут быть нескольких типов. Ответ OCSP состоит из типа ответа и байтов самого ответа. Существует один базовый тип ответа OCSP, который должен поддерживаться всеми клиентами и серверами OCSP. Далее мы будем рассматривать только данный базовый тип ответа.
Все сообщения окончательного ответа должны быть подписаны. Ключ, используемый для подписи ответов, должен принадлежать одному из следующих участников:
  • СА, который выпустил сертификат, указанный в запросе.
  • Responder, чьему открытому ключу доверяет запрашивающая сторона.
  • Responder, назначенный СА (Уполномоченный орган для OCSP-ответов), который имеет специально маркированный сертификат, выпущенный непосредственно СА. Сертификат указывает, что Responder может выпускать OCSP-ответы для данного СА.

Сообщение окончательного ответа состоит из:
  • Версии синтаксиса ответа.
  • Имени Responder.
  • Ответов для каждого из сертификатов в запросе.
  • Необязательных расширений.
  • OID алгоритма подписи.
  • Подписи, вычисленной для хэша ответа.

Ответ для каждого сертификата в запросе состоит из:
  • Идентификатора целевого сертификата.
  • Значения статуса сертификата.
  • Интервала действительности ответа.
  • Необязательных расширений.

Определены следующие варианты статуса сертификата в окончательных ответах:
  • Good
  • Revoked
  • Unknown

Состояние good определяет положительный ответ на запрошенный статус. Как минимум, данный положительный ответ указывает, что сертификат не отменен, но это не обязательно означает, что он был хотя бы выпущен или что время, в которое был сделан запрос, находится в интервале действительности сертификата. Расширения ответа могут использоваться для передачи дополнительной информации или предположений, сделанных Responder относительно статуса сертификата, таких как положительное утверждение о выпуске, действительности и т.д.
Состояние revoked указывает, что сертификат отменен (либо постоянно, либо временно).
Состояние unknown указывает, что отвечающий не знает о сертификате, который был запрошен.


Ответы OCSP могут быть нескольких типов. Ответ OCSP состоит из типа ответа и байтов самого ответа. Существует один базовый тип ответа OCSP, который должен поддерживаться всеми клиентами и серверами OCSP. Далее мы будем рассматривать только данный базовый тип ответа.
Все сообщения окончательного ответа должны быть подписаны. Ключ, используемый для подписи ответов, должен принадлежать одному из следующих участников:
  • СА, который выпустил сертификат, указанный в запросе.
  • Responder, чьему открытому ключу доверяет запрашивающая сторона.
  • Responder, назначенный СА (Уполномоченный орган для OCSP-ответов), который имеет специально маркированный сертификат, выпущенный непосредственно СА. Сертификат указывает, что Responder может выпускать OCSP-ответы для данного СА.

Сообщение окончательного ответа состоит из:
  • Версии синтаксиса ответа.
  • Имени Responder.
  • Ответов для каждого из сертификатов в запросе.
  • Необязательных расширений.
  • OID алгоритма подписи.
  • Подписи, вычисленной для хэша ответа.

Ответ для каждого сертификата в запросе состоит из:
  • Идентификатора целевого сертификата.
  • Значения статуса сертификата.
  • Интервала действительности ответа.
  • Необязательных расширений.

Определены следующие варианты статуса сертификата в окончательных ответах:
  • Good
  • Revoked
  • Unknown

Состояние good определяет положительный ответ на запрошенный статус. Как минимум, данный положительный ответ указывает, что сертификат не отменен, но это не обязательно означает, что он был хотя бы выпущен или что время, в которое был сделан запрос, находится в интервале действительности сертификата. Расширения ответа могут использоваться для передачи дополнительной информации или предположений, сделанных Responder относительно статуса сертификата, таких как положительное утверждение о выпуске, действительности и т.д.
Состояние revoked указывает, что сертификат отменен (либо постоянно, либо временно).
Состояние unknown указывает, что отвечающий не знает о сертификате, который был запрошен.


Ответ OCSP, основанный на НТТР, создается в соответствии с заголовками НТТР, за которыми следует бинарное значение DER-представления OCSPResponse. Заголовок Content-Type имеет значение application/ocsp-response. Заголовок Content-Length должен специфицировать длину ответа. Остальные заголовки НТТР могут присутствовать и могут игнорироваться, если запрашивающим они не распознаются.

Содержание раздела