1. घर
  2. सवाल और जवाब
  3. संपूर्ण प्रमाणपत्र श्रृंखला पर ओसीएसपी निरस्तीकरण जांच

संपूर्ण प्रमाणपत्र श्रृंखला पर ओसीएसपी निरस्तीकरण जांच

2012-05-04 17 views
5

जब आप एक ओसीएसपी सर्वर के लिए एक प्रमाणपत्र की निरस्तीकरण स्थिति की जांच करने का अनुरोध करते हैं, तो क्या यह स्वचालित रूप से पूरी श्रृंखला की निरस्तीकरण स्थिति की जांच करता है?संपूर्ण प्रमाणपत्र श्रृंखला पर ओसीएसपी निरस्तीकरण जांच

i.e: अगर यह कहता है कि प्रमाणपत्र "अच्छा" है, तो क्या यह दर्शाता है कि पूरी श्रृंखला अच्छी है?

मैं कल्पना पढ़ें: http://www.ietf.org/rfc/rfc2560.txt

लेकिन यह अभी भी मेरे लिए स्पष्ट नहीं लगता है।

विकिपीडिया श्रृंखलित OCSP अनुरोध उल्लेख करता है:

http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

स्रोत

2012-05-04 Anthony

उत्तर

7

OCSP प्रतिसादी केवल विशेष प्रमाणपत्र OCSP अनुरोध में निर्दिष्ट किया जाता है की स्थिति की जांच करेंगे। उत्तरदाता शेष श्रृंखला को अनदेखा कर देगा।

एक ब्राउज़र प्रत्येक प्रमाणपत्र को जांचने के लिए एकाधिक ओसीएसपी अनुरोध भेजने का विकल्प चुन सकता है क्योंकि यह श्रृंखला को पार करता है, लेकिन वर्तमान में यह विभिन्न विक्रेताओं में ब्राउज़र-निर्भर तरीके से लागू होता है, और इस तथ्य से और भ्रमित है कि ब्राउज़र मनमाने ढंग से एसएसएल सर्वर द्वारा प्रदत्त इंटरमीडिएट सर्टिफिकेट कैश करेंगे और विभिन्न लीफ सर्टिफिकेट्स के लिए चेन में उनका पुनः उपयोग करेंगे। कुछ ब्राउज़र तीसरे स्रोतों से अप-टू-डेट इंटरमीडिएट को भी डाउनलोड और स्वचालित रूप से डाउनलोड करेंगे, भले ही एसएसएल सर्वर एक पुराना भेज रहा हो। हालांकि, यह ध्यान दिया जाना चाहिए कि सामान्य रूप से (वर्तमान में), इंटरमीडिएट सर्टिफिकेट ज्यादातर ओसीएसपी जानकारी रखने के लिए स्थापित नहीं होते हैं, इसलिए यह संभावना नहीं है कि वे ओसीएसपी-चेकबल हैं।

संबंधित नोट पर, स्पेस का एक नया हिस्सा है जो ब्राउज़र को एक ही HTTP पोस्ट में एकाधिक ओसीएसपी चेक का अनुरोध करने की अनुमति देता है - मध्यवर्ती को पत्ते के साथ चेक करने की अनुमति देने के इरादे से - लेकिन अभी तक इसका समर्थन नहीं करता है, और यह केवल उन सर्वरों पर समर्थित होने की संभावना है जो ओसीएसपी स्टेपलिंग (अपाचे 2.4+ इत्यादि) को नियोजित करते हैं, अन्यथा बिना किसी स्टैपलिंग के इंटरमीडिएट सर्टिफिकेट के लिए ओसीएसपी उत्तरदाता पर परिणामी भार, इसे सीधे गिरने की संभावना है ऊपर। (सैकड़ों हजारों पत्तियों पर हस्ताक्षर करने वाले मध्यवर्ती प्रमाण पत्र के साथ, कल्पना करें कि वितरित कैशिंग के व्यापक समर्थन के लाभ के बिना, निरसन अनुरोधों के लिए कितना मुश्किल होगा, जो स्टेपलिंग लाएगा)।

रूट प्रमाण पत्र, ज़ाहिर है, ओसीएसपी द्वारा जांच नहीं की जा सकती है। वे स्वयं द्वारा हस्ताक्षरित हैं, इसलिए यदि ट्रस्ट चला गया है, तो कहीं भी देखने के लिए नहीं है, और आपको क्लाइंट से रूट प्रमाणपत्र को हटाने की आवश्यकता है।

स्रोत

2012-05-04 15:12:35 Cheekysoft

+0

आपकी प्रतिक्रिया के लिए धन्यवाद, यह बहुत उपयोगी था। – Anthony

+0

थोड़ी अतिरिक्त जानकारी के साथ अपडेट किया गया – Cheekysoft

+0

यदि रूट का स्वयं-हस्ताक्षरित प्रमाणपत्र का सीरियल नंबर अपने स्वयं के सीआरएल पर दिखाया गया है (या इसकी स्थिति ओसीएसपी प्रतिक्रिया आदि में निरस्त हो गई है) तो क्या आप अभी भी रूट पर भरोसा करेंगे? – Ram

संबंधित मुद्दे

 संबंधित मुद्दे