Security 为什么不';t OCSP错误消息是否已签名?
我正在努力理解OCSP。我几乎阅读了整个RFC,但我不明白为什么错误消息没有签名。问题很明显:如果没有对错误消息进行签名,MiTM可以简单地拒绝响应客户端请求的服务,这些服务会出现错误,如未经授权的错误、内部错误[…] 从RFC我可以读到: 如果出现错误,OCSP响应程序可能会返回错误消息。 这些消息没有签名 不知道为什么。Security 为什么不';t OCSP错误消息是否已签名?,security,certificate,rfc,ca,ocsp,Security,Certificate,Rfc,Ca,Ocsp,我正在努力理解OCSP。我几乎阅读了整个RFC,但我不明白为什么错误消息没有签名。问题很明显:如果没有对错误消息进行签名,MiTM可以简单地拒绝响应客户端请求的服务,这些服务会出现错误,如未经授权的错误、内部错误[…] 从RFC我可以读到: 如果出现错误,OCSP响应程序可能会返回错误消息。 这些消息没有签名 不知道为什么。 有个标志不是最安全的吗?也许我没有抓住要点,但我认为这样会更安全。OCSP客户端对验证证书吊销状态感兴趣。对返回状态的消息进行签名,以避免恶意OCSP服务器返回虚假响应(例
有个标志不是最安全的吗?也许我没有抓住要点,但我认为这样会更安全。OCSP客户端对验证证书吊销状态感兴趣。对返回状态的消息进行签名,以避免恶意OCSP服务器返回虚假响应(例如,当实际状态为“撤销”时返回状态“良好”) 当OCSP服务器指示证书的吊销状态未定义的错误时。OCSP客户端应该考虑拒绝这样的证书,或者试图通过CRL或另一个OCSP服务器来验证它。也可以在OCSP客户机上配置,由管理员决定。这与带有状态“未知”的已签名OCSP响应有关