8

当你请求 OCSP 服务器检查证书的吊销状态时,它会自动检查整个链的吊销状态吗?

即:如果它说证书是“好”的,那么这是否意味着整个链条都是好的?

我阅读了规范:http ://www.ietf.org/rfc/rfc2560.txt

但我似乎仍然不清楚。

维基百科确实提到了链式 OCSP 请求:

http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

4

1 回答 1

10

OCSP 响应者将仅检查 OCSP 请求中指定的特定证书的状态。响应者将忽略链的其余部分。

浏览器可以选择发送多个 OCSP 请求,以便在遍历链时检查每个证书,但目前这在不同供应商之间以依赖于浏览器的方式实现,并且浏览器将缓存中间件这一事实进一步混淆由任意 SSL 服务器提供的证书,并在链中将它们重新用于不同的叶证书。一些浏览器甚至会尝试从第三方来源自动下载最新的中间体,即使 SSL 服务器发送的是旧的中间体。但是,应该注意的是,一般(目前)中间证书大多没有设置为具有 OCSP 信息,因此无论如何它们不太可能是 OCSP 可检查的。

在相关的说明中,规范中有一个新部分允许浏览器在同一个 HTTP 帖子中请求多个 OCSP 检查——目的是允许与叶子一起检查中间体——但尚不支持这很可能仅在使用 OCSP 装订(Apache 2.4+ 等)的服务器上受支持,否则在没有装订的情况下,OCSP 响应器上的中间证书负载可能会使其直接崩溃。(如果中间证书签署了数十万个叶子,想象一下如果没有对装订将带来的分布式缓存的广泛支持,撤销请求会受到多大的打击)。

当然,OCSP 无法检查根证书。它们是自己签名的,所以如果信任消失了,就无处可寻,你只需要从客户端删除根证书。

于 2012-05-04T15:12:35.623 回答