问基于SSL/TLS的OCSP

EN

是的，可以使用SSL/TLS。但请考虑以下内容：

当证书包含具有https URI或类似方案的cRLDistributionPoints扩展时，可以引入循环依赖关系。为了获得完成初始路径验证所需的CRL，依赖方被迫执行额外的路径验证！也可以在authorityInfoAccess或subjectInfoAccess扩展中使用https URI (或类似方案)创建循环条件。在最坏的情况下，这种情况可能会产生无法解析的依赖关系。

摘自RFC5280，第8节。本节将解决使用https作为CRL分发点的问题。但是对于OCSP请求，使用SSL/TLS也会遇到同样的问题:您必须检查服务器证书的有效性……

在RFC2560的附录中是这样写的：

A.1.1请求...在要求隐私的情况下，使用HTTP交换的OCSP事务可以使用TLS/SSL或一些其他较低层协议来保护。

但是大多数OCSP-Responder只提供HTTP而不提供TLS/SSL。

这绝对是可能的，但这不是典型的。如果您正在请求主机证书的状态，则OCSP请求不太可能透露窃听者不知道的任何内容-即，您正在尝试验证的主机。

对于S/MIME电子邮件或其他应用程序，OCSP请求可能更加敏感，因为它们将支持组织分析。在那里使用HTTPS传输可能是一个好主意。