OCSP サーバーに証明書の失効ステータスを確認するように要求すると、チェーン全体の失効ステータスが自動的に確認されますか?
つまり、証明書が「良好」であると表示されている場合、それはチェーン全体が良好であることを意味しますか?
仕様を読みました: http://www.ietf.org/rfc/rfc2560.txt
しかし、それはまだ私には不明なようです。
ウィキペディアでは、チェーンされた OCSP リクエストについて言及しています。
http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
OCSPレスポンダーは、OCSP要求で指定された特定の証明書のステータスのみをチェックします。レスポンダーはチェーンの残りの部分を無視します。
ブラウザは、チェーンを通過するときに各証明書をチェックするために複数のOCSPリクエストを送信することを選択できますが、これは現在、さまざまなベンダー間でブラウザに依存する方法で実装されており、ブラウザが中間をキャッシュするという事実によってさらに混乱しています。任意のSSLサーバーによって提供される証明書を、さまざまなリーフ証明書のチェーンで再利用します。一部のブラウザは、SSLサーバーが古い中間体を送信している場合でも、サードソースから最新の中間体を自動的にダウンロードしようとします。ただし、一般的に(現在)、中間証明書はほとんどOCSP情報を持つように設定されていないため、とにかくOCSPチェック可能である可能性は低いことに注意してください。
関連する注記として、ブラウザが同じHTTPポスト内で複数のOCSPチェックを要求できるようにする仕様の新しい部分があります-中間体をリーフと一緒にチェックできるようにすることを目的としています-しかし、まだ何もサポートしていませんこれは、OCSPステープリング(Apache 2.4+など)を採用しているサーバーでのみサポートされる可能性があります。そうしないと、ステープリングなしで中間証明書のOCSPレスポンダーに負荷がかかると、すぐに失敗する可能性があります。(数十万の葉に署名する中間証明書を使用して、ステープリングがもたらす分散キャッシングの広範なサポートの利点がなければ、失効要求がどれほど困難になるか想像してみてください)。
もちろん、ルート証明書はOCSPでチェックできません。それらは自分で署名されているため、信頼が失われた場合、探す場所はなく、クライアントからルート証明書を削除する必要があります。