証明書の失効ステータスをチェックするようにOCSPサーバに要求すると、チェーン全体の失効ステータスが自動的にチェックされますか。証明書チェーン全体のOCSP失効チェック
つまり、証明書が「良い」と表示された場合は、チェーン全体が良好であることを意味しますか?
私はスペック読み:http://www.ietf.org/rfc/rfc2560.txt
を、それはまだ私には不明らしいです。
ウィキペディアは連鎖OCSP要求に言及します:
http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
OCSPレスポンダが唯一のOCSP要求で指定された特定の証明書のステータスをチェックします。レスポンダはチェーンの残りの部分を無視します。
ブラウザは、各証明書がチェーンを横断する際に、各証明書をチェックするために複数のOCSP要求を送信することを選択することができますが、これは現在、異なるベンダー間でブラウザに依存して実装されています。ブラウザーは任意のSSLサーバーによって処理される中間証明書をキャッシュし、異なるリーフ証明書のチェーンでそれらを再利用します。一部のブラウザは、SSLサーバーが古いサーバーを送信している場合でも、3番目のソースから最新の中間物を自動的にダウンロードしようとします。しかし、一般的に(現在)、中間証明書はほとんどがOCSP情報を持つように設定されていないので、OCSPチェック可能であるとは考えにくいことに注意してください。
関連するノートには、ブラウザーが同じHTTPポスト内で複数のOCSPチェックを要求できるようにする仕様の新しい部分があります。中間体がリーフとともにチェックされるようにする目的で、これはまだサポートされていないもので、これはOCSPステープル(Apache 2.4以降など)を使用するサーバーでのみサポートされる可能性があります。そうしないと、ステープルなしの中間証明書のOCSPレスポンダの結果負荷は、以上。 (中間の証明書が何十万枚もの葉に署名していると、ステープルを行う分散キャッシングが広範囲にサポートされていなくても、取り消し要求に対してどのくらいの負荷がかかるか想像してください)。
もちろん、ルート証明書はOCSPでチェックすることはできません。彼らは自分自身で署名されているので、信頼がなくなったら、どこからでも見ることができ、クライアントからルート証明書を削除するだけで済みます。
ご回答いただきありがとうございます。非常に役に立ちました。 – Anthony
がちょっとした情報で更新されました – Cheekysoft
ルートの自己署名証明書のシリアル番号が自身のCRLに現れた(または、そのステータスがOCSP応答などで取り消されてきた)場合でも、まだルートを信頼しますか? – Ram