Gin*_*ich 7 ssl ocsp confidentiality
据我所知,OCSP 只提供明确的请求和响应签名方式([RFC2560,第 7 页] 请求,[RFC2560,第 8 页] 响应),但它没有提及加密。通过 SSL/TLS 运行 OCSP 以保证其机密性是否是典型的(或者甚至可能,我认为当然是这样)?
谢谢。
小智 7
是的,可以使用 SSL/TLS。但是考虑一下:
当证书包含带有 https URI 或类似方案的 cRLDistributionPoints 扩展时,可以引入循环依赖。依赖方被迫执行额外的路径验证,以获得完成初始路径验证所需的 CRL!也可以在 authorityInfoAccess 或 subjectInfoAccess 扩展中使用 https URI(或类似方案)创建循环条件。在最坏的情况下,这种情况会产生无法解决的依赖关系。
取自 RFC5280,第 8 节。本节解决使用 https 用于 CRL 分发点的问题。但是对于 OCSP 请求使用 SSL/TLS 会遇到同样的问题:您必须检查服务器证书的有效性...
| 归档时间: |
|
| 查看次数: |
3481 次 |
| 最近记录: |