的不同回复类型的对象标识符号(例如,id-pkix-ocsp-basic) 。
id-pkix-ocsp-responseOBJECTIDENTIFIER::={id-pkix-ocsp4}
AcceptableResponses::=SEQUENCEOFOBJECTIDENTIFIER
如同章节4.2.1所提到的那样,OCSP响应器应该有能力回复一个id-pkix-ocsp-basic的
回复类型 。OCSP客户端也应该有能力接受并处理id-pkix-ocsp-basic回复类型的回复 。
4.4.4文件中断
一个OCSP响应器可以选择当证书过期后仍保留相应的撤消信息 。
这个日期可以从产生时间(producedAt)减下的保持间期值中获得,并被定义成证书的“文
档中断”日期 。
可以使用OCSP的应用程序会使用一个OCSP文档中断日期作为一个证实,证实一个数
字签名是(或者不是)可被信赖于它的产生日期,即使证书过期很久后仍被要求证实这个签
名有效 。
提供这些历史记录参考的OCSP服务器应该在回复中包括一个文档中断日期的扩展 。如
果包括的话,那么这个值应该作为由id-pkix-ocsp-archive-cutoff确定的OCSP单一扩展,并
且为标准化时间标记语法 。
id-pkix-ocsp-archive-cutoffOBJECTIDENTIFIER::={id-pkix-ocsp6}
ArchiveCutoff::=GeneralizedTime
举个例子,假如一个服务器以7年时间长度为规则的保持力,而且状态在时间点T1产
生 。那么回复中文档中断的值就是t1-7年 。
4.4.5 证书撤消列表入口扩展
所有的扩展同RFC2459章节5.3中所定义的CRL入口扩展描述,同样也作为单一扩展
被支持 。
4.4.6 服务定位器
一台OCSP服务器也许是在这样一种模式中运做的,一台服务器收到请求后将会把该请
求路由给对此证书有权威性的OCSP服务器 。为了这个目的定义了服务定位器请求扩展 。这
个扩展作为单一请求扩展被包括在请求中 。
id-pkix-ocsp-service-locatorOBJECTIDENTIFIER::={id-pkix-ocsp7}
ServiceLocator::=SEQUENCE{
issuerName,
locatorAuthorityInfoAccessSyntaxOPTIONAL}
这些域的值可以从主体证书中的相应域中获得 。
5 安全方面的考虑
为了使这项服务有效,证书使用系统必须连接到证书状态服务提供者 。假如这样的连接
不可实现,那么证书使用系统可以实现证书撤消列表处理,作为一种退而求其次的方法 。
假如请求过多,将会使服务器相当脆弱 。密码签名工作也将显著的影响到回复产生周期,从
而使情况恶化 。假如不签名,那么将使攻击者可能发送假回复,造成协议服务被攻击导致无
效 。
使用预先产生的回复将可能导致重发攻击,一个旧(良好状态)的回复将被用来重发作
为一个在有效期内但已被撤消的证书状态 。所以为了实现预先产生回复带来的好处,OCSP
应被小心配置,既要考虑到成功执行后的效率代价又要考虑到被重发攻击的可能性 。
请求不包含他们所直接面对的响应器,这将导致攻击者向任意一个OCSP响应器重发请
求攻击 。
对于依靠于HTTP缓存的配置场合,假如中间服务器没有被正确的配置或者存在缓存管
理错误,那么将会导致非期望的结果 。建议实现人员仔细考虑HTTP缓存机制的可靠性当配
置OCSP在HTTP之上时 。
6 参考
[RFC2459] Housley,R.,Ford,W.,Polk,W.andD.Solo,
"因特网x.509公钥基础设施证书和证书撤消列表轮廓",RFC2459,1999一月
[HTTP] Fielding,R.,Gettys,J.,Mogul,J.,Frystyk,H.andT.Berners-Lee
"超文本传输协议——HTTP/1.1",RFC2068,1997一月
[RFC2119] Bradner,S.,
"RFC中要害字使用的需要水平",BCP14,RFC2119,1997三月
[URL] Berners-Lee,T.,Masinter,L.andM.McCahill,
"统一资源定位(URL)",RFC1738,1994 12月
推荐阅读
- X.509证书请求消息格式
- 因特网延迟交谈:体系结构
- Ipv6 针对因特网协议第六版的
- 因特网交换密钥
- 因特网子网
- IMAP & IMAP4:因特网信息访问协议
- IP电话综述
- Linux使用ssh公钥实现免密码登录实例 linux配置公钥登陆ssh
- 因特网域名长度不能超过多长 因特网域名长度不能超过
- 把公钥基础设施称为( A三角信任模型 把公钥基础设施称为