¿Debo aceptar un certificado de respondedor OSCP firmado por el Anchor Trust?

Question

¿Alguien podría ayudarme a lo siguiente?
RFC2560 define cuándo se puede aceptar un certificado de respuesta OCSP (Sigining the Response):

   1. Matches a local configuration of OCSP signing authority for the
   certificate in question; or

   2. Is the certificate of the CA that issued the certificate in
   question; or

   3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
   extension and is issued by the CA that issued the certificate in
   question."

Mi pregunta es:
Si el certificado del respondedor OCSP está firmado por el ancla de confianza de la ruta de validación, ¿también se considera aceptado?
Tengo la impresión de que debería ser, pero esto no se indica explícitamente por encima de RFC y no pudo encontrar una referencia explícita en esto.

Sin embargo, de mi lectura del RFC es que incluso si está firmado por el TA, todavía no es válido para la respuesta OCSP.
Se agradece cualquier ayuda
Nota: Estoy trabajando en Java en esto, en caso de que sea importante

ACTUALIZAR:
En la Sección 2.2 del RFC:

Todos los mensajes de respuesta definitivos se firmarán digitalmente. La clave
utilizado para firmar la respuesta debe pertenecer a uno de los siguientes:

- La CA que emitió el certificado en cuestión
- Un respondedor de confianza cuya clave pública es confiable por el solicitante
- Un respondedor designado de CA (respondedor autorizado) que posee un certificado especialmente marcado emitido directamente por la CA, lo que indica que el respondedor puede emitir respuestas OCSP para esa CA

El punto 2 me parece ambiguo.
Podría significar:
a) Cualquier PK de confianza, por lo que el ancla de confianza es aceptable
o
b) tener el significado del punto (1) en la primera cita, lo que significa preconfigurar un certificado (cualquiera) para confiar como el respondedor OCSP, ya que, por ejemplo, se hace en Java aquí:

   Security.setProperty("ocsp.responderCertSubjectName",ocspCert.getSubjectDN().getName));
   List<X509Certificate> list = new ArrayList<X509Certificate>();
   list.add(ocspCert);
   CollectionCertStoreParameters p = new CollectionCertStoreParameters(list);  
   CertStore store = CertStore.getInstance("Collection", p);
   PKIXParameters params = new PKIXParameters(Collections.singleton(anchor));
   params.addCertStore(store);      

Answer 1

En RFC 2560, estos significan:

1. Matches a local configuration of OCSP signing authority for the
certificate in question; or

→ Puede hacer lo que quiera siempre que sepa constantemente lo que está haciendo. Esta es la cláusula de "atrapar todo", lo que significa que lo más probable es que se ajuste a RFC 2560 lo que sea que haga. Pero si eres el productor De las respuestas OCSP, querrá evitar usar esa licencia para ser estándar porque preferiría que los usuarios de sus respuestas las acepten, incluso si no tienen la misma "configuración local" que usted.

2. Is the certificate of the CA that issued the certificate in
question; or

→ El punto difícil es que el ancla de la confianza es un ca. No está representado formalmente por un certificado (aunque en muchos sistemas de confianza se codifican como certificados autofirmados); pero problemas certificados y, como tal, es una autoridad de certificación. En este caso está en este caso si la respuesta OCSP se firmó con la clave TA.

3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
extension and is issued by the CA that issued the certificate in
question."

És X y R han sido emitidos por la Autoridad de Certificación cuyo nombre y clave que use como Anchor de confianza.

Estos tres casos describen los pasos de verificación que deben ser realizados por quien recibo una respuesta OCSP y desea usarla como parte de una validación de ruta de certificado. La Sección 2.2 de la RFC trata sobre los deberes del respondedor OCSP:

All definitive response messages SHALL be digitally signed. The key
used to sign the response MUST belong to one of the following:

-- the CA who issued the certificate in question
-- a Trusted Responder whose public key is trusted by the requester
-- a CA Designated Responder (Authorized Responder) who holds a specially
   marked certificate issued directly by the CA, indicating that the responder
   may issue OCSP responses for that CA

Estos tres casos coinciden con los del receptor, que detallamos anteriormente, en el orden "2, 1, 3". Allí, nuevamente, la "CA que emitió el certificado" puede ser la entidad cuyo nombre y clave pública serán utilizadas como ancla de confianza por el receptor.