Dovrei accettare un certificato di risponditore OSCP firmato dall'ancoraggio di fiducia?

Question

Qualcuno potrebbe aiutarmi a seguito di quanto segue?
RFC2560 definisce quando è possibile accettare un certificato di risponditore OCSP (che sigina la risposta):

   1. Matches a local configuration of OCSP signing authority for the
   certificate in question; or

   2. Is the certificate of the CA that issued the certificate in
   question; or

   3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
   extension and is issued by the CA that issued the certificate in
   question."

La mia domanda è:
Se il certificato del risponditore OCSP è firmato dall'ancoraggio del percorso di convalida, viene anche considerato accettato?
Ho l'impressione che dovrebbe essere, ma questo non è indicato esplicitamente sopra da RFC e non è riuscito a trovare un riferimento esplicito su questo.

Dalla mia lettura dell'RFC è che anche se è firmata dall'AT, non è ancora valido per la risposta OCSP.
Qualsiasi aiuto è apprezzato
Nota: sto lavorando in Java su questo, nel caso in cui sia importante

AGGIORNARE:
Nella sezione 2.2 della RFC:

Tutti i messaggi di risposta definitivi devono essere firmati digitalmente. Il tasto
utilizzato per firmare la risposta deve appartenere a uno dei seguenti:

- La CA che ha emesso il certificato in questione
- Un risponditore di fiducia la cui chiave pubblica è attendibile dal richiedente
- Un risponditore designato CA (risponditore autorizzato) che detiene un certificato appositamente marcato rilasciato direttamente dalla CA, indicando che il risponditore può emettere risposte OCSP per tale CA

Il punto 2 mi sembra ambiguo.
Potrebbe significare:
a) Qualsiasi PK fidata, quindi l'ancoraggio di fiducia è accettabile
o
b) avere il significato del punto (1) nella prima citazione, il che significa preconfigure un certificato (qualsiasi) di cui fidarsi come essere il risponditore OCSP come ad esempio è fatto in Java qui:

   Security.setProperty("ocsp.responderCertSubjectName",ocspCert.getSubjectDN().getName));
   List<X509Certificate> list = new ArrayList<X509Certificate>();
   list.add(ocspCert);
   CollectionCertStoreParameters p = new CollectionCertStoreParameters(list);  
   CertStore store = CertStore.getInstance("Collection", p);
   PKIXParameters params = new PKIXParameters(Collections.singleton(anchor));
   params.addCertStore(store);      

Answer 1

In RFC 2560, questi significano:

1. Matches a local configuration of OCSP signing authority for the
certificate in question; or

→ Puoi fare quello che vuoi fintanto che sei costantemente consapevole di ciò che stai facendo. Questa è la clausola "catch-all", il che significa che molto probabilmente ti conformerai a RFC 2560 qualunque cosa tu faccia. Ma se sei il produttore Delle risposte OCSP, vorrai evitare di utilizzare quella licenza per essere standard perché preferiresti gli utenti delle tue risposte ad accettarle anche se non hanno la stessa "configurazione locale" di te.

2. Is the certificate of the CA that issued the certificate in
question; or

→ Il punto difficile è che l'ancoraggio di fiducia è un ca. Non è formalmente rappresentato da a certificato (Sebbene in molti sistemi le ancore di fiducia siano codificate come certificati autofirmati); ma ciò questioni Certificati e, come tale, è un'autorità di certificazione. Sei in questo caso se la risposta OCSP è stata firmata con il tasto TA.

3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
extension and is issued by the CA that issued the certificate in
question."

→ Analogamente a sopra, un risponditore OCSP che firma una risposta per il certificato x, dove X sembra essere stato emesso dall'AT, può utilizzare un certificato di soccorso R che è stato emesso anche dallo stesso TA - da questo, intendo che entrambi X e R sono stati emessi dall'autorità di certificazione il cui nome e chiave utilizzati come ancora di fiducia.

Questi tre casi descrivono le fasi di verifica che dovrebbero essere eseguite da chiunque riceve una risposta OCSP e desidera utilizzarla come parte di una convalida del percorso di certificato. La sezione 2.2 dell'RFC riguarda i doveri del risponditore OCSP:

All definitive response messages SHALL be digitally signed. The key
used to sign the response MUST belong to one of the following:

-- the CA who issued the certificate in question
-- a Trusted Responder whose public key is trusted by the requester
-- a CA Designated Responder (Authorized Responder) who holds a specially
   marked certificate issued directly by the CA, indicating that the responder
   may issue OCSP responses for that CA

Questi tre casi corrispondono a quelli per il ricevitore, che abbiamo dettagliato sopra, nell'ordine "2, 1, 3". Ancora una volta, la "CA che ha emesso il certificato" può essere l'entità il cui nome e chiave pubblica saranno utilizzate come ancora di fiducia dal ricevitore.