据我所知,OCSP仅为请求和响应提供了明确的方式(请求[RFC2560,第7页]和响应的[RFC2560,第8页]),但它没有提及加密。是典型的(甚至可能,我认为当然是这样)通过SSL / TLS运行OCSP以保证其机密性?
感谢。
答案 0 :(得分:4)
是的,可以使用SSL / TLS。但请考虑一下:
当证书包含带有的cRLDistributionPoints扩展名时 https URI或类似方案,可以引入循环依赖。 依赖方被迫执行额外的路径验证 为了获得完成初始路径所需的CRL 验证!也可以使用https创建循环条件 powersInfoAccess或中的URI(或类似方案) subjectInfoAccess扩展。在最坏的情况下,这种情况可以创造 无法解决的依赖关系。
取自RFC5280,第8节。本节介绍使用https进行CRL分发点的问题。但是对于OCSP请求,使用SSL / TLS会遇到同样的问题:您必须检查服务器证书的有效性......
答案 1 :(得分:2)
这绝对是可能的,但这并不典型。如果您正在请求主机证书的状态,则OCSP请求不太可能泄露窃听者尚未知道的任何内容 - 即您尝试进行身份验证的主机。
对于S / MIME电子邮件或其他应用程序,OCSP请求可能更敏感,因为它们将支持组织分析。使用HTTPS传输可能是一个好主意。
答案 2 :(得分:2)
RFC2560的附录中有以下内容:
A.1.1请求 [...]隐私在哪里 一个要求,使用HTTP交换的OCSP事务可能是 使用TLS / SSL或其他一些低层协议进行保护。
但是大多数OCSP-Responder只提供没有TLS / SSL的HTTP。