信安標(biāo)委發(fā)布《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議》(征求意見稿)
發(fā)布時(shí)間 2023-04-12近日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議》(征求意見稿)(以下簡(jiǎn)稱《在線證書狀態(tài)協(xié)議》)。
《在線證書狀態(tài)協(xié)議》按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草,代替GB/T 19713—2005《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》。
《在線證書狀態(tài)協(xié)議》規(guī)定了面向公鑰基礎(chǔ)設(shè)施的在線證書狀態(tài)協(xié)議(OCSP),此協(xié)議是一種無(wú)需請(qǐng)求證書撤銷列表(CRL)即可查詢數(shù)字證書狀態(tài)的協(xié)議,包括總則、功能要求、具體協(xié)議等,適用于公鑰基礎(chǔ)設(shè)施的建設(shè)以及應(yīng)用在線證書狀態(tài)協(xié)議的依賴方等。
概述
OCSP作為查詢CRL的替代方法或補(bǔ)充方法,對(duì)需實(shí)時(shí)獲得數(shù)字證書撤銷狀態(tài)相關(guān)信息的,OCSP是必不可少的。
OCSP能使應(yīng)用程序獲得某個(gè)目標(biāo)證書的撤銷狀態(tài),OCSP可提供比檢查CRL更實(shí)時(shí)的撤銷狀態(tài)信息,還可提供附加的狀態(tài)信息。OCSP客戶端向OCSP響應(yīng)器發(fā)出一個(gè)狀態(tài)請(qǐng)求時(shí),需暫停接受待驗(yàn)證的證書,直到響應(yīng)器提供響應(yīng)為止?!对诰€證書狀態(tài)協(xié)議》規(guī)定了查驗(yàn)證書狀態(tài)的應(yīng)用程序和提供證書狀態(tài)查詢的響應(yīng)器之間需要交換的數(shù)據(jù)。
請(qǐng)求
《在線證書狀態(tài)協(xié)議》指明了OCSP請(qǐng)求包括的數(shù)據(jù)內(nèi)容及響應(yīng)器接受請(qǐng)求時(shí)對(duì)請(qǐng)求數(shù)據(jù)格式的要求。
1、OCSP請(qǐng)求包含以下數(shù)據(jù):
協(xié)議版本;
服務(wù)請(qǐng)求;
目標(biāo)證書標(biāo)識(shí)符;
OCSP響應(yīng)器可處理的可選擴(kuò)展,比如:OCSP客戶端的簽名、隨機(jī)數(shù)。
2、在接受到請(qǐng)求時(shí),OCSP響應(yīng)器應(yīng)確定:
報(bào)文格式是否正確;
響應(yīng)器是否配置了所要求的服務(wù);
請(qǐng)求是否包含了響應(yīng)器需要的信息。
如果上述任一條件不滿足,OCSP響應(yīng)器將返回一個(gè)錯(cuò)誤信息;否則,將返回一個(gè)明確的響應(yīng)。
響應(yīng)
OCSP響應(yīng)由響應(yīng)類型和響應(yīng)實(shí)體兩部分組成,根據(jù)實(shí)際情況,響應(yīng)可有不同類型。
1、所有確定的響應(yīng)報(bào)文都應(yīng)進(jìn)行數(shù)字簽名,用于響應(yīng)簽名的密鑰應(yīng)符合下列條件之一:
簽發(fā)待驗(yàn)證證書的CA密鑰;
CA指定的響應(yīng)器(即授權(quán)的響應(yīng)器,見7.3.2.2)的密鑰,該響應(yīng)器擁有一個(gè)CA直接簽發(fā)的帶有擴(kuò)展密鑰用法id-kp-OCSPSigning(見GB/T 20518—2018 5.2.4.2.5)的證書,該擴(kuò)展項(xiàng)指明該響應(yīng)器可為CA簽發(fā)OCSP響應(yīng);
可信賴的響應(yīng)器密鑰,即客戶端信任該響應(yīng)器的密鑰。
2、響應(yīng)消息由如下內(nèi)容組成:
響應(yīng)語(yǔ)法的版本;
響應(yīng)者的標(biāo)識(shí)符;
生成響應(yīng)的時(shí)間;
對(duì)請(qǐng)求中每個(gè)證書的響應(yīng);
可選擇的擴(kuò)展;
簽名算法的OID;
響應(yīng)的數(shù)字簽名。
3、對(duì)請(qǐng)求中證書的響應(yīng)由如下內(nèi)容組成:
目標(biāo)證書標(biāo)識(shí)符;
證書狀態(tài)值;
響應(yīng)有效間隔;
可選的擴(kuò)展。
4、本文件對(duì)證書狀態(tài)值規(guī)定了如下響應(yīng)標(biāo)識(shí)符:
good(在用):表示證書是有效的在用證書。此響應(yīng)表示在其有效期內(nèi)所請(qǐng)求證書序列號(hào)的證書沒(méi)有被撤銷,但并不一定意味著該證書曾經(jīng)被簽發(fā)過(guò),或產(chǎn)生響應(yīng)的時(shí)間是在證書有效性期內(nèi)。另外,響應(yīng)擴(kuò)展可提供關(guān)于證書狀態(tài)信息的附加聲明,例如已簽發(fā)、有效期等;
revoked(已撤銷):表示證書已被凍結(jié)(撤銷原因是凍結(jié))或永久的撤銷。如果相關(guān)聯(lián)的CA沒(méi)有簽發(fā)所請(qǐng)求證書的記錄,也可能返回此狀態(tài);
unknown(未知):表示響應(yīng)器不能鑒別待驗(yàn)證狀態(tài)的證書。通常是因?yàn)樵擁憫?yīng)器無(wú)法識(shí)別驗(yàn)證請(qǐng)求所包含的頒發(fā)者。
5、當(dāng)響應(yīng)器向未簽發(fā)證書的狀態(tài)請(qǐng)求發(fā)送“已撤銷”響應(yīng)時(shí),響應(yīng)器應(yīng)在響應(yīng)中包含擴(kuò)展撤銷定義(見7.4.9),從而表明OCSP響應(yīng)器支持“已撤銷”狀態(tài)的擴(kuò)展定義,以涵蓋未簽發(fā)的證書。另外,未簽發(fā)證書與SingleResponse結(jié)構(gòu)字段(見7.3.1)相關(guān)?!耙殉蜂N”響應(yīng)應(yīng)符合以下要求:
應(yīng)明確指出撤銷原因是凍結(jié);
應(yīng)明確指出撤銷時(shí)間是1970年1月1日;
不能包括CRL引用擴(kuò)展(見7.4.3)或任何CRL條目擴(kuò)展(見7.4.6)。