OCSP 전체 인증서 체인 해지 확인

Question

OCSP 서버가 인증서의 해지 상태를 확인하도록 요청하면 전체 체인의 해지 상태를 자동으로 확인합니까?

예 : 인증서가 '양호'하다고 표시하면 전체 체인이 양호 함을 의미합니까?

나는 사양 읽기 : http://www.ietf.org/rfc/rfc2560.txt

을하지만 여전히 내게 불분명 보인다.

위키 백과 연쇄 OCSP 요청을 언급하지 :

http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

Answer 1

OCSP 응답자 만 OCSP 요청에 지정된 특정 인증서의 상태를 확인합니다. 응답자는 나머지 체인을 무시합니다.

브라우저는 체인을 따라 이동할 때 각 인증서를 검사하기 위해 여러 OCSP 요청을 보내도록 선택할 수 있지만 현재이 방법은 여러 공급 업체에서 브라우저에 따라 구현됩니다. 브라우저는 임의의 SSL 서버가 처리하는 중간 인증서를 캐싱하고 서로 다른 리프 인증서를 체인으로 다시 사용합니다. 일부 브라우저는 SSL 서버가 이전 버전을 보내고 있더라도 세 번째 소스에서 최신 중간체를 자동으로 다운로드하려고 시도합니다. 그러나 일반적으로 (현재) 중간 인증서는 대부분 OCSP 정보를 갖도록 설정되지 않았으므로 어쨌든 OCSP 확인이 가능하지는 않습니다.

관련 메모에는 브라우저가 동일한 HTTP 게시물 내에서 여러 OCSP 검사를 요청할 수있는 새로운 부분이 있습니다 (중간체가 리프와 함께 검사되도록 허용 함) 그러나 이것은 아직 지원하지 않으며 OCSP 스테이플 링 (Apache 2.4 이상)을 사용하는 서버에서만 지원됩니다. 그렇지 않으면 중간 인증서에 대한 OCSP 응답자의 결과로드가 스테이플 링없이 곧장 떨어질 수 있습니다 위에. (수십만 개의 잎사귀에 서명하는 중간 인증서를 사용하면 스테이플 링이 가져올 분산 된 캐싱에 대한 광범위한 지원없이 해지 요청에 얼마나 많은 피해를 입힐 지 상상해보십시오.

물론 루트 인증서는 OCSP에서 확인할 수 없습니다. 그들은 스스로 서명을했기 때문에 신뢰가 없어지면 아무 것도 볼 필요가 없으며 클라이언트에서 루트 인증서를 제거하면됩니다.