security - OCSP 吊销检查整个证书链

Question

当你请求 OCSP 服务器检查证书的吊销状态时，它是否会自动检查整个链的吊销状态？

即:如果它说证书“好”，那么这是否意味着整个链条都很好？

我阅读了规范:http://www.ietf.org/rfc/rfc2560.txt

但对我来说似乎还不清楚。

维基百科确实提到了链式 OCSP 请求:

http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

Answer 1

OCSP 响应者将只检查 OCSP 请求中指定的特定证书的状态。响应者将忽略链的其余部分。

浏览器可能会选择发送多个 OCSP 请求，以便在遍历链时检查每个证书，但目前这是在不同供应商之间以依赖于浏览器的方式实现的，并且浏览器将缓存中间由任意 SSL 服务器提供的证书，并在不同叶证书的链中重用它们。一些浏览器甚至会尝试从第三方来源自动下载最新的中间件，即使 SSL 服务器正在发送旧的中间件。但是，应该注意的是，一般(目前)，中间证书大多没有设置为具有 OCSP 信息，因此无论如何它们不太可能是 OCSP 可检查的。

在相关说明中，规范的一个新部分允许浏览器在同一个 HTTP 帖子中请求多个 OCSP 检查——目的是允许中间体与叶一起检查——但尚不支持这可能仅在采用 OCSP 装订(Apache 2.4+ 等)的服务器上受支持，否则中间证书的 OCSP 响应器上产生的负载，如果没有装订，可能会使其直接倒下。 (如果中间证书签署了数十万个叶子，想象一下如果没有装订将带来的分布式缓存的广泛支持，撤销请求会受到多大的打击)。

当然，OCSP 无法检查根证书。它们是由自己签名的，因此如果信任已经消失，则无处可寻，您只需要从客户端中删除根证书即可。