信安標(biāo)委發(fā)布《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議》(征求意見稿)

發(fā)布時(shí)間 2023-04-12

近日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議》(征求意見稿)(以下簡(jiǎn)稱《在線證書狀態(tài)協(xié)議》)。


《在線證書狀態(tài)協(xié)議》按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草,代替GB/T 19713—2005《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》。


《在線證書狀態(tài)協(xié)議》規(guī)定了面向公鑰基礎(chǔ)設(shè)施的在線證書狀態(tài)協(xié)議(OCSP),此協(xié)議是一種無(wú)需請(qǐng)求證書撤銷列表(CRL)即可查詢數(shù)字證書狀態(tài)的協(xié)議,包括總則、功能要求、具體協(xié)議等,適用于公鑰基礎(chǔ)設(shè)施的建設(shè)以及應(yīng)用在線證書狀態(tài)協(xié)議的依賴方等。


概述


OCSP作為查詢CRL的替代方法或補(bǔ)充方法,對(duì)需實(shí)時(shí)獲得數(shù)字證書撤銷狀態(tài)相關(guān)信息的,OCSP是必不可少的。


OCSP能使應(yīng)用程序獲得某個(gè)目標(biāo)證書的撤銷狀態(tài),OCSP可提供比檢查CRL更實(shí)時(shí)的撤銷狀態(tài)信息,還可提供附加的狀態(tài)信息。OCSP客戶端向OCSP響應(yīng)器發(fā)出一個(gè)狀態(tài)請(qǐng)求時(shí),需暫停接受待驗(yàn)證的證書,直到響應(yīng)器提供響應(yīng)為止?!对诰€證書狀態(tài)協(xié)議》規(guī)定了查驗(yàn)證書狀態(tài)的應(yīng)用程序和提供證書狀態(tài)查詢的響應(yīng)器之間需要交換的數(shù)據(jù)。


請(qǐng)求


《在線證書狀態(tài)協(xié)議》指明了OCSP請(qǐng)求包括的數(shù)據(jù)內(nèi)容及響應(yīng)器接受請(qǐng)求時(shí)對(duì)請(qǐng)求數(shù)據(jù)格式的要求。


1、OCSP請(qǐng)求包含以下數(shù)據(jù):

  • 協(xié)議版本;

  • 服務(wù)請(qǐng)求;

  • 目標(biāo)證書標(biāo)識(shí)符;

  • OCSP響應(yīng)器可處理的可選擴(kuò)展,比如:OCSP客戶端的簽名、隨機(jī)數(shù)。


2、在接受到請(qǐng)求時(shí),OCSP響應(yīng)器應(yīng)確定:

  • 報(bào)文格式是否正確;

  • 響應(yīng)器是否配置了所要求的服務(wù);

  • 請(qǐng)求是否包含了響應(yīng)器需要的信息。

  • 如果上述任一條件不滿足,OCSP響應(yīng)器將返回一個(gè)錯(cuò)誤信息;否則,將返回一個(gè)明確的響應(yīng)。



響應(yīng)


OCSP響應(yīng)由響應(yīng)類型和響應(yīng)實(shí)體兩部分組成,根據(jù)實(shí)際情況,響應(yīng)可有不同類型。


1、所有確定的響應(yīng)報(bào)文都應(yīng)進(jìn)行數(shù)字簽名,用于響應(yīng)簽名的密鑰應(yīng)符合下列條件之一:

  • 簽發(fā)待驗(yàn)證證書的CA密鑰;

  • CA指定的響應(yīng)器(即授權(quán)的響應(yīng)器,見7.3.2.2)的密鑰,該響應(yīng)器擁有一個(gè)CA直接簽發(fā)的帶有擴(kuò)展密鑰用法id-kp-OCSPSigning(見GB/T 20518—2018 5.2.4.2.5)的證書,該擴(kuò)展項(xiàng)指明該響應(yīng)器可為CA簽發(fā)OCSP響應(yīng);

  • 可信賴的響應(yīng)器密鑰,即客戶端信任該響應(yīng)器的密鑰。


2、響應(yīng)消息由如下內(nèi)容組成:

  • 響應(yīng)語(yǔ)法的版本;

  • 響應(yīng)者的標(biāo)識(shí)符;

  • 生成響應(yīng)的時(shí)間;

  • 對(duì)請(qǐng)求中每個(gè)證書的響應(yīng);

  • 可選擇的擴(kuò)展;

  • 簽名算法的OID;

  • 響應(yīng)的數(shù)字簽名。


3、對(duì)請(qǐng)求中證書的響應(yīng)由如下內(nèi)容組成:

  • 目標(biāo)證書標(biāo)識(shí)符;

  • 證書狀態(tài)值;

  • 響應(yīng)有效間隔;

  • 可選的擴(kuò)展。


4、本文件對(duì)證書狀態(tài)值規(guī)定了如下響應(yīng)標(biāo)識(shí)符:

  • good(在用):表示證書是有效的在用證書。此響應(yīng)表示在其有效期內(nèi)所請(qǐng)求證書序列號(hào)的證書沒(méi)有被撤銷,但并不一定意味著該證書曾經(jīng)被簽發(fā)過(guò),或產(chǎn)生響應(yīng)的時(shí)間是在證書有效性期內(nèi)。另外,響應(yīng)擴(kuò)展可提供關(guān)于證書狀態(tài)信息的附加聲明,例如已簽發(fā)、有效期等;

  • revoked(已撤銷):表示證書已被凍結(jié)(撤銷原因是凍結(jié))或永久的撤銷。如果相關(guān)聯(lián)的CA沒(méi)有簽發(fā)所請(qǐng)求證書的記錄,也可能返回此狀態(tài);

  • unknown(未知):表示響應(yīng)器不能鑒別待驗(yàn)證狀態(tài)的證書。通常是因?yàn)樵擁憫?yīng)器無(wú)法識(shí)別驗(yàn)證請(qǐng)求所包含的頒發(fā)者。


5、當(dāng)響應(yīng)器向未簽發(fā)證書的狀態(tài)請(qǐng)求發(fā)送“已撤銷”響應(yīng)時(shí),響應(yīng)器應(yīng)在響應(yīng)中包含擴(kuò)展撤銷定義(見7.4.9),從而表明OCSP響應(yīng)器支持“已撤銷”狀態(tài)的擴(kuò)展定義,以涵蓋未簽發(fā)的證書。另外,未簽發(fā)證書與SingleResponse結(jié)構(gòu)字段(見7.3.1)相關(guān)?!耙殉蜂N”響應(yīng)應(yīng)符合以下要求:

  • 應(yīng)明確指出撤銷原因是凍結(jié);

  • 應(yīng)明確指出撤銷時(shí)間是1970年1月1日;

  • 不能包括CRL引用擴(kuò)展(見7.4.3)或任何CRL條目擴(kuò)展(見7.4.6)。