我使用node.js和一些支持RSA符号,验证和生成X.509的密码库创建了证书授权服务器。当我使用在线证书状态协议(OCSP)添加证书撤销功能时,我想到了为什么我必须发送请求并收到OCSP的答复,因为我只想知道的不是OCSP请求/响应对象,而只是证书状态证书状态(好或被撤销。)
请求不请求OCSP响应对象(.pem或其他内容)是否有意义
OCSP(在线证书状态协议)是一种标准协议,可获取由RFC6960统治的证书的当前状态
该协议定义了互换消息,包括内容,编码,内容类型和HTTP响应代码。
如果要构建通用PKI,定义自己的协议是没有意义的,因为当前客户端都不会使用它(浏览器,移动设备,软件工具等),但希望您拥有标准OCSP服务。
但是,如果您要为内部PKI构建自己的客户端工具,那么拥有非常简单的状态查询服务可能会很有用(例如200件好,401撤销,404个未知)。但是在这种情况下,请勿将其称为OCSP
OCSP用CA签名的对象响应的原因是,依赖方知道对象和证书状态是真实的。
如果您的新状态服务收到"序列号123456789的证书状态是什么是什么,则返回简单的HTTP响应,则客户将无法对该响应进行身份验证;当证书的私钥已被妥协并撤销401时,进行替换攻击并进行200个良好响应变得非常简单。
您无法通过通过HTTPS进行响应来解决此问题,因为这将导致永久递归状态检查。
如果状态服务器的证书是由不使用您的协议的CA发出的,则可以使用HTTP,而是使用诸如OCSP或CRL分发点之类的替代方案。但这只是使整个解决方案更加复杂,而不是简化状态检查问题。