「次の更新」がOCSP応答にありません

Question

全体

CentOS 7のボックスでOpenSSLを使用してプライベートPKIをセットアップすることを実験しています。「次の更新」行がOCSP応答にないという問題を除いて、すべてが正常に機能します。

システム

OS：CentOS 7.6
OpenSSL1.0.2k-fips

症候群

このPKIからのTLS証明書をOCSPレスポンダーに対してローカルでテストすると、次の結果が得られます。

[。

オンラインで検索したところ、多くの例 Next Update行がThis Update行のすぐ下に表示されています。 OCSP応答。例えば

 openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp.digicert.com wikipedia.pem：good この更新：4月9日08： 45:00 2014 GMT 次の更新：4月16日09:00:00 2014 GMT

これは、HAProxyOCSPステープリングで使用されるようになるまで大きな問題ではありません。 HAProxy OCSPステープリングは、「次の更新」行がないとOCSP応答を受け入れないようです。

質問

ここでOCSP応答に「次の更新」行がない理由を誰かが知っていますか？この行をOCSP応答に含めるにはどうすればよいですか？

出荷されたOpenSSLパッケージを使用してUbuntu18.04 LTSを試してみましたが、同じ問題が発生しました。

ありがとう！

garethTheRed · Accepted Answer

RFC 6960のセクション4.2.2.1から-X.509インターネット公開鍵インフラストラクチャオンライン証明書ステータスプロトコル-OCSP ：

NextUpdateが設定されていない場合、レスポンダーは新しい失効情報が常に利用可能であることを示しています。

一方、 RFC 5019のセクション2.2.4-大容量環境の軽量オンライン証明書ステータスプロトコル（OCSP）プロファイルは次のように述べています。

nextUpdate

証明書のステータスに関する新しい情報が利用可能になる時間またはそれ以前。レスポンダーは、応答のキャッシュを支援するために、常にこの値を含める必要があります。

したがって、クライアントは軽量のOCSPレスポンダーを期待しているようです。

OpenSSL OCSPのマニュアルページをざっと見ると、次のことがわかります。

-nmin分、-ndays日

新しい失効情報が利用可能な分数または日数：nextUpdateフィールドで使用されます。どちらのオプションも存在しない場合、nextUpdateフィールドは省略され、新しい失効情報がすぐに利用できることを意味します。

OpenSSL OCSPサービスを開始するときに、コマンドラインに-nmin 5などを追加してみてください。