web-dev-qa-db-ja.com

OCSPリクエストの署名は必要ですか?

証明書のステータスをOCSPサーバーに直接要求できます。では、なぜリクエストに署名するオプションがあるのですか?入ってくるリクエストか何かを識別するためですか?

5
HyperX Pro

私が見つけることができる最高のものは、ドラフト バージョン2X.509 Internet Public Key Infrastructure Online Certificate Status Protocol-OCSP提案のドラフトからであり、後でRFC 2560になりました。それはそれを述べています:

リクエスター署名は、OCSPレスポンダーに対してリクエスターを認証するために使用されます。これは、以下で定義されるリクエスター証明書拡張機能と組み合わせて使用​​されます。

このドキュメントは、リクエストのABNF内訳における署名の最初のインスタンスでもあります。この文書のそれ以降のバージョンでは、この主題についての説明はさらに少なくなっています。

署名はオプションであるので、多くの(ほとんどではないにしても)証明書利用者は、OCSP要求に署名するための公開鍵と秘密鍵のペアを持っていません。

このあいまいさに加えて、大量環境用の軽量オンライン証明書ステータスプロトコル(OCSP)プロファイルRFC 5019 で定義されたプロトコルは、署名について次のように述べていますリクエスト:

クライアントは署名されたOCSPRequestsを送信すべきではありません。レスポンダは、OCSPRequestの署名を無視してもよい(MAY)。

どちらのドキュメントにも、クライアントがリクエストに署名することを期待する理由はありません。

5
garethTheRed

OCSPレスポンダーへの接続は、HTTPS(多くの場合、HTTPのみである)で保護する必要はありません。OCSPレスポンダーは、OCSP応答の信頼できるソースである必要さえありません。他の場所から取得した応答を転送するだけです。代わりに、署名は信頼できるソースによって行われます。

3
Steffen Ullrich