Ant*_*ony 6 security ocsp certificate-revocation ssl-certificate
当您请求OCSP服务器检查证书的撤销状态时,它是否会自动检查整个链的撤销状态?
即:如果证明证书"好",那么这意味着整个链条是好的吗?
我阅读了规范:http://www.ietf.org/rfc/rfc2560.txt
但我似乎还不清楚.
维基百科确实提到了链式OCSP请求:
http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
OCSP响应程序仅检查OCSP请求中指定的特定证书的状态.响应者将忽略链的其余部分.
浏览器可以选择发送多个OCSP请求,以便在每个证书遍历链时检查每个证书,但目前这是在不同供应商之间以浏览器相关的方式实现的,并且由于浏览器将缓存中间产品而进一步混淆由任意SSL服务器提供的证书,并在链中为不同的叶证书重用它们.有些浏览器甚至会尝试从第三个来源自动下载最新的中间体,即使SSL服务器发送较旧的中间产品也是如此.但是,应该注意的是,通常(目前),中间证书通常不会设置为具有OCSP信息,因此无论如何它们都不太可能是OCSP可检查的.
在相关的说明中,规范的一个新部分允许浏览器在同一个HTTP帖子中请求多个OCSP检查 - 目的是允许中间体与叶子一起检查 - 但是还没有支持这可能只在使用OCSP装订(Apache 2.4+等)的服务器上得到支持,否则OCSP响应者在没有装订的情况下对中间证书产生的负载可能会使其直接下降.(通过中间证书签署成千上万的叶子,想象一下,如果没有受到分段缓存的广泛支持,撤销请求会受到多大程度的影响).
当然,OCSP无法检查根证书.它们是由自己签名的,所以如果信任已经消失,那么无处可寻,您只需要从客户端删除根证书.