Trust Anchorによって署名されたOSCP Responder証明書を受け入れる必要がありますか?

StackOverflow https://stackoverflow.com/questions/5888990

質問

誰かが次のことで私を助けてくれませんか?
RFC2560は、OCSP Responder証明書(応答のシギー化)を受け入れることができる時期を定義します。 

   1. Matches a local configuration of OCSP signing authority for the
   certificate in question; or

   2. Is the certificate of the CA that issued the certificate in
   question; or

   3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
   extension and is issued by the CA that issued the certificate in
   question."

私の質問は次のとおりです。
OCSPレスポンダーの証明書が検証パスの信頼アンカーによって署名されている場合、それも受け入れられていると見なされますか?
私はそれがそうあるべきであるという印象を持っていますが、これはRFCから明示的に上記のように述べられておらず、これに関する明示的な参照を見つけることができませんでした。

しかし、RFCを読んだことから、たとえTAによって署名されていても、OCSP応答にはまだ有効ではないということです。
どんな助けも感謝しています
注:私はこれについてJavaで働いています。

アップデート:
RFCのセクション2.2で:

すべての決定的な応答メッセージは、デジタル署名されなければなりません。キー
応答に署名するために使用されます。

- 問題の証明書を発行したCA
- 公開鍵がリクエスターによって信頼されている信頼できるレスポンダー
-CAが直接発行された特別にマークされた証明書を保持しているCA指定レスポンダー(認定レスポンダー)は、そのCAに対してResponderがOCSP応答を発行する可能性があることを示しています

ポイント2は私にはあいまいなようです。
それは意味するかもしれません:
a)信頼できるpkなので、信頼できるアンカーは受け入れられます
また
b)最初の引用でポイント(1)の意味を持っています。つまり、ECONFIGURE(ANY)がOCSPレスポンダーであると信頼する証明書(任意)を意味します。たとえば、ここでJavaで行われます。 

   Security.setProperty("ocsp.responderCertSubjectName",ocspCert.getSubjectDN().getName));
   List<X509Certificate> list = new ArrayList<X509Certificate>();
   list.add(ocspCert);
   CollectionCertStoreParameters p = new CollectionCertStoreParameters(list);  
   CertStore store = CertStore.getInstance("Collection", p);
   PKIXParameters params = new PKIXParameters(Collections.singleton(anchor));
   params.addCertStore(store);
役に立ちましたか?

解決

RFC 2560では、これらは次のことを意味します。

1. Matches a local configuration of OCSP signing authority for the
certificate in question; or

→自分がしていることを常に知っている限り、あなたはやりたいことをすることができます。これは「キャッチオール」条項です。これは、あなたが何をするにしてもRFC 2560に準拠する可能性が高いことを意味します。しかし、あなたがいるなら プロデューサー OCSPの応答のうち、あなたと同じ「ローカル構成」を持っていなくても、あなたの応答のユーザーがそれらを受け入れることを好むので、そのライセンスを使用することを避けたいと思うでしょう。

2. Is the certificate of the CA that issued the certificate in
question; or

→トリッキーなポイントは、信頼のアンカーです ca.それはaで正式に表されていません 証明書 (多くのシステムでは、信頼できるアンカーは自己署名証明書としてエンコードされています)。しかし、それ 問題 証明書、およびそのため、認定機関です。この場合、OCSP応答がTAキーで署名された場合です。

3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage
extension and is issued by the CA that issued the certificate in
question."

→上記と同様に、XがTAによって発行されたように見えるXの回答に署名するOCSPレスポンダーは、同じTAによって発行されたレスポンダー証明書Rを使用する場合があります。 XとRは、信頼のアンカーとして使用する名前とキーの認定機関によって発行されました。

これらの3つのケースは、誰でも実行されるべき検証手順を説明しています 受信します OCSP応答、および証明書パス検証の一部として使用したいと考えています。 RFCのセクション2.2は、OCSP Responderの義務に関するものです。

All definitive response messages SHALL be digitally signed. The key
used to sign the response MUST belong to one of the following:

-- the CA who issued the certificate in question
-- a Trusted Responder whose public key is trusted by the requester
-- a CA Designated Responder (Authorized Responder) who holds a specially
   marked certificate issued directly by the CA, indicating that the responder
   may issue OCSP responses for that CA

これらの3つのケースは、「2、1、3」の順序で、上記で詳述したレシーバーのケースと一致します。繰り返しになりますが、「証明書を発行したCA」は、名前と公開キーが受信者によって信頼のアンカーとして使用されるエンティティになります。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top