OCSP响应者证书- CRL分发点和AIA OCSP URI
OCSP响应者证书- CRL分发点和AIA OCSP URI
提问于 2016-12-20 07:14:44
我正在构建OCSP响应程序,我需要颁发来自CA的OCSP签名证书,该证书将用于签署OCSP响应。
在OCSP签名者证书的证书配置文件定义中,应该定义CRL分发点还是AIA OCSP URI?
至于OCSP,我认为这没有任何意义,因为它指向同一个URI,其中使用相同的OCSP证书签名响应。当询问OCSP签名者证书是否有效时,我不能信任OCSP响应。
使用CRL分发点可能有用,因此任何人都可以通过不同的路径(通道)检查OCSP签名者证书是否有效。
OCSP签署的证书包含CRL分发点和OCSP URI是否有意义?
回答 1
Security用户
回答已采纳
发布于 2016-12-20 09:10:38
在OCSP签名者证书的证书配置文件定义中,应该定义CRL分发点还是AIA OCSP URI?
RFC 6960允许这样的配置,但是实际上并没有真正的好处,因为您将有其他第三方源代码来验证OCSP签名证书。当OCSP签名证书包含id-pkix-ocsp-nocheck证书扩展时,不会对其进行吊销验证。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/145847
复制相关文章
相似问题
腾讯云开发者
