信安標委發(fā)布《信息安全技術 公鑰基礎設施 在線證書狀態(tài)協(xié)議》(征求意見稿)

發(fā)布時間 2023-04-12

近日,全國信息安全標準化技術委員會發(fā)布了《信息安全技術 公鑰基礎設施 在線證書狀態(tài)協(xié)議》(征求意見稿)(以下簡稱《在線證書狀態(tài)協(xié)議》)。


《在線證書狀態(tài)協(xié)議》按照GB/T 1.1—2020《標準化工作導則 第1部分:標準化文件的結構和起草規(guī)則》的規(guī)定起草,代替GB/T 19713—2005《信息技術 安全技術 公鑰基礎設施在線證書狀態(tài)協(xié)議》。


《在線證書狀態(tài)協(xié)議》規(guī)定了面向公鑰基礎設施的在線證書狀態(tài)協(xié)議(OCSP),此協(xié)議是一種無需請求證書撤銷列表(CRL)即可查詢數(shù)字證書狀態(tài)的協(xié)議,包括總則、功能要求、具體協(xié)議等,適用于公鑰基礎設施的建設以及應用在線證書狀態(tài)協(xié)議的依賴方等。


概述


OCSP作為查詢CRL的替代方法或補充方法,對需實時獲得數(shù)字證書撤銷狀態(tài)相關信息的,OCSP是必不可少的。


OCSP能使應用程序獲得某個目標證書的撤銷狀態(tài),OCSP可提供比檢查CRL更實時的撤銷狀態(tài)信息,還可提供附加的狀態(tài)信息。OCSP客戶端向OCSP響應器發(fā)出一個狀態(tài)請求時,需暫停接受待驗證的證書,直到響應器提供響應為止?!对诰€證書狀態(tài)協(xié)議》規(guī)定了查驗證書狀態(tài)的應用程序和提供證書狀態(tài)查詢的響應器之間需要交換的數(shù)據(jù)。


請求


《在線證書狀態(tài)協(xié)議》指明了OCSP請求包括的數(shù)據(jù)內容及響應器接受請求時對請求數(shù)據(jù)格式的要求。


1、OCSP請求包含以下數(shù)據(jù):

  • 協(xié)議版本;

  • 服務請求;

  • 目標證書標識符;

  • OCSP響應器可處理的可選擴展,比如:OCSP客戶端的簽名、隨機數(shù)。


2、在接受到請求時,OCSP響應器應確定:

  • 報文格式是否正確;

  • 響應器是否配置了所要求的服務;

  • 請求是否包含了響應器需要的信息。

  • 如果上述任一條件不滿足,OCSP響應器將返回一個錯誤信息;否則,將返回一個明確的響應。



響應


OCSP響應由響應類型和響應實體兩部分組成,根據(jù)實際情況,響應可有不同類型。


1、所有確定的響應報文都應進行數(shù)字簽名,用于響應簽名的密鑰應符合下列條件之一:

  • 簽發(fā)待驗證證書的CA密鑰;

  • CA指定的響應器(即授權的響應器,見7.3.2.2)的密鑰,該響應器擁有一個CA直接簽發(fā)的帶有擴展密鑰用法id-kp-OCSPSigning(見GB/T 20518—2018 5.2.4.2.5)的證書,該擴展項指明該響應器可為CA簽發(fā)OCSP響應;

  • 可信賴的響應器密鑰,即客戶端信任該響應器的密鑰。


2、響應消息由如下內容組成:

  • 響應語法的版本;

  • 響應者的標識符;

  • 生成響應的時間;

  • 對請求中每個證書的響應;

  • 可選擇的擴展;

  • 簽名算法的OID;

  • 響應的數(shù)字簽名。


3、對請求中證書的響應由如下內容組成:

  • 目標證書標識符;

  • 證書狀態(tài)值;

  • 響應有效間隔;

  • 可選的擴展。


4、本文件對證書狀態(tài)值規(guī)定了如下響應標識符:

  • good(在用):表示證書是有效的在用證書。此響應表示在其有效期內所請求證書序列號的證書沒有被撤銷,但并不一定意味著該證書曾經(jīng)被簽發(fā)過,或產(chǎn)生響應的時間是在證書有效性期內。另外,響應擴展可提供關于證書狀態(tài)信息的附加聲明,例如已簽發(fā)、有效期等;

  • revoked(已撤銷):表示證書已被凍結(撤銷原因是凍結)或永久的撤銷。如果相關聯(lián)的CA沒有簽發(fā)所請求證書的記錄,也可能返回此狀態(tài);

  • unknown(未知):表示響應器不能鑒別待驗證狀態(tài)的證書。通常是因為該響應器無法識別驗證請求所包含的頒發(fā)者。


5、當響應器向未簽發(fā)證書的狀態(tài)請求發(fā)送“已撤銷”響應時,響應器應在響應中包含擴展撤銷定義(見7.4.9),從而表明OCSP響應器支持“已撤銷”狀態(tài)的擴展定義,以涵蓋未簽發(fā)的證書。另外,未簽發(fā)證書與SingleResponse結構字段(見7.3.1)相關?!耙殉蜂N”響應應符合以下要求:

  • 應明確指出撤銷原因是凍結;

  • 應明確指出撤銷時間是1970年1月1日;

  • 不能包括CRL引用擴展(見7.4.3)或任何CRL條目擴展(見7.4.6)。