私の知る限り、OCSPは、要求と応答に署名するための明示的な手段(要求の場合は[RFC2560、7ページ]、応答の場合は[RFC2560、8ページ])のみを提供しますが、暗号化については言及していません。機密性を保証するためにSSL/TLSを介してOCSPを実行することは一般的ですか(または可能ですが、もちろん可能です)?
ありがとう。
質問する
3690 次
3 に答える
7
はい、SSL/TLSを使用することが可能です。しかし、これを考慮してください:
証明書にhttpsURIまたは同様のスキームを持つcRLDistributionPoints拡張機能が含まれている場合、循環依存関係が導入される可能性があります。証明書利用者は、最初のパス検証を完了するために必要なCRLを取得するために、追加のパス検証を実行する必要があります。循環条件は、authorityInfoAccessまたはsubjectInfoAccess拡張機能のhttps URI(または同様のスキーム)を使用して作成することもできます。最悪の場合、この状況は解決できない依存関係を作成する可能性があります。
RFC5280のセクション8から引用。このセクションでは、CRL配布ポイントにhttpsを使用する際の問題に対処します。ただし、OCSP要求にSSL/TLSを使用しても同じ問題が発生します。サーバー証明書の有効性を確認する必要があります...
于 2013-02-26T15:55:56.413 に答える
3
RFC2560の付録には、次のように書かれています。
A.1.1要求[...]プライバシーが必要な場合、HTTPを使用して交換されるOCSPトランザクションは、TLS/SSLまたはその他の下位層プロトコルを使用して保護できます。
ただし、ほとんどのOCSPレスポンダーは、TLS/SSLなしでHTTPのみを提供します。
于 2015-09-23T06:48:53.840 に答える
2
それは確かに可能ですが、それは典型的ではありません。ホスト証明書のステータスを要求している場合、OCSP要求は、盗聴者がまだ知らないこと、つまり、認証しようとしているホストを明らかにする可能性はほとんどありません。
S / MIME電子メールまたはその他のアプリケーションの場合、OCSP要求は組織分析をサポートするため、はるかに機密性が高くなる可能性があります。そこでは、HTTPSトランスポートを使用することをお勧めします。
于 2012-11-11T23:52:04.387 に答える