問題タブ [ocsp]

私は、署名付きの .NET (C#) アセンブリ (EXE といくつかの DLL があります) を扱うのに少し慣れていないので、見落としている単純なものがいくつかあるかもしれません。最近、私たちが使用していたアプリケーションが、インターネットにアクセスできない (HTTP がブロックされていた) マシンにロードするのに非常に長い時間がかかっていることを発見し、何度か試行した後に OCSP 要求がタイムアウトしたことを突き止めました。

OCSPについて読んでいると、得られる可能性のある応答の 1 つが「取り消されました」であることがわかりました。.NET 実行可能ファイルを実行しようとしたときに、OCSP チェックが取り消されたものとして返された場合はどうなりますか? エラーが表示されますか? 警告をクリックした後でもプログラムを実行できますか?

私が心配しているのは、元の署名者が証明書を「取り消す」ことを決定した場合に、この重要なレガシー アプリケーションが突然実行できなくなることです (そのためのプロセスが何であるかさえわかりません)。

これは、次の質問に対する追加情報の要求です: OpenSSL certificate revocation check in client program using OCSP stapling

OpenSSL が実際に OCSP ステープル応答を処理する方法を知りたいです。質問は次のとおり
です。 1. OpenSSL は応答の署名、発行者キー/名前のハッシュをチェックしますか?
2. 応答には、証明書チェーン全体の OCSP 応答が含まれていますか? もしそうなら、検証の1つが失敗したことを知る方法はありますか?
3. 要約すると、応答の「Cert Status: good」フィールドに頼ることはできますか? :)

私の懸念は、ハッカーが失効した (盗まれた) 証明書を使用して https サーバーを作成する可能性があることですが、ハンドシェイク中に、同じ CA 発行者によって認証されたランダムな Web サイトに対して有効なステープルされた OCSP 応答を提供することです。OpenSSL はそのような状況を処理できますか?

サンプルの OCSP 応答は、 https://www.feistyduck.com/library/openssl-cookbook/online/ch-testing-with-openssl.html#testing-ocsp-staplingにあります。

証明書の失効を確認しようとしています。私は CAcert 証明書を持っています。crlClient と OCSP が証明書の失効チェックを完了するには、約 1 時間かかります。

この 2 つの https 設定の違いを教えてください。どうもありがとうございました!

ocsp クエリは必要ありません

ocsp クエリが必要

クライアント証明書の検証を強制的に要求するように HAProxy を構成しています。これはうまくいきます。ただし、クライアント証明書の検証に特化した OCSP サポートに関する情報はあまり見つかりませんでした。証明書失効リストと OCSP Stapling (サーバー証明書用だと思います) に関する情報があります。私の質問は 1. HAProxy はクライアント証明書の検証中に OCSP をサポートしていますか? 2. サポートされている場合、クライアント証明書自体に含まれる OCSP URL を必要とせずに手動で構成したり、サーバーで URL をオーバーライドしたりすることはできますか?

署名付き PDF を生成するために iTextSharp 5.5.10 を使用しています。特に、LTV署名が必要です。LTV は、CRL および OCSP リクエストで実行できます。

私はそのようなコードでそれをしました:

問題は次のとおりです。私は非常に多くのPDFに署名しています（常に同じ証明書を使用しています）。したがって、毎回 CRL および OCSP 要求を作成したくないので、それらを「キャッシュ」する必要があります。

この種のコードでCRLをキャッシュすることができました（C＃MemoryCacheに依存しています）：

ただし、OCSP 応答をキャッシュする解決策は見つかりません。誰も手がかりを持っていますか？