信安標(biāo)委發(fā)布《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議》(征求意見稿)

發(fā)布時間 2023-04-12

近日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議》(征求意見稿)(以下簡稱《在線證書狀態(tài)協(xié)議》)。


《在線證書狀態(tài)協(xié)議》按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草,代替GB/T 19713—2005《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》。


《在線證書狀態(tài)協(xié)議》規(guī)定了面向公鑰基礎(chǔ)設(shè)施的在線證書狀態(tài)協(xié)議(OCSP),此協(xié)議是一種無需請求證書撤銷列表(CRL)即可查詢數(shù)字證書狀態(tài)的協(xié)議,包括總則、功能要求、具體協(xié)議等,適用于公鑰基礎(chǔ)設(shè)施的建設(shè)以及應(yīng)用在線證書狀態(tài)協(xié)議的依賴方等。


概述


OCSP作為查詢CRL的替代方法或補充方法,對需實時獲得數(shù)字證書撤銷狀態(tài)相關(guān)信息的,OCSP是必不可少的。


OCSP能使應(yīng)用程序獲得某個目標(biāo)證書的撤銷狀態(tài),OCSP可提供比檢查CRL更實時的撤銷狀態(tài)信息,還可提供附加的狀態(tài)信息。OCSP客戶端向OCSP響應(yīng)器發(fā)出一個狀態(tài)請求時,需暫停接受待驗證的證書,直到響應(yīng)器提供響應(yīng)為止?!对诰€證書狀態(tài)協(xié)議》規(guī)定了查驗證書狀態(tài)的應(yīng)用程序和提供證書狀態(tài)查詢的響應(yīng)器之間需要交換的數(shù)據(jù)。


請求


《在線證書狀態(tài)協(xié)議》指明了OCSP請求包括的數(shù)據(jù)內(nèi)容及響應(yīng)器接受請求時對請求數(shù)據(jù)格式的要求。


1、OCSP請求包含以下數(shù)據(jù):

  • 協(xié)議版本;

  • 服務(wù)請求;

  • 目標(biāo)證書標(biāo)識符;

  • OCSP響應(yīng)器可處理的可選擴(kuò)展,比如:OCSP客戶端的簽名、隨機(jī)數(shù)。


2、在接受到請求時,OCSP響應(yīng)器應(yīng)確定:

  • 報文格式是否正確;

  • 響應(yīng)器是否配置了所要求的服務(wù);

  • 請求是否包含了響應(yīng)器需要的信息。

  • 如果上述任一條件不滿足,OCSP響應(yīng)器將返回一個錯誤信息;否則,將返回一個明確的響應(yīng)。



響應(yīng)


OCSP響應(yīng)由響應(yīng)類型和響應(yīng)實體兩部分組成,根據(jù)實際情況,響應(yīng)可有不同類型。


1、所有確定的響應(yīng)報文都應(yīng)進(jìn)行數(shù)字簽名,用于響應(yīng)簽名的密鑰應(yīng)符合下列條件之一:

  • 簽發(fā)待驗證證書的CA密鑰;

  • CA指定的響應(yīng)器(即授權(quán)的響應(yīng)器,見7.3.2.2)的密鑰,該響應(yīng)器擁有一個CA直接簽發(fā)的帶有擴(kuò)展密鑰用法id-kp-OCSPSigning(見GB/T 20518—2018 5.2.4.2.5)的證書,該擴(kuò)展項指明該響應(yīng)器可為CA簽發(fā)OCSP響應(yīng);

  • 可信賴的響應(yīng)器密鑰,即客戶端信任該響應(yīng)器的密鑰。


2、響應(yīng)消息由如下內(nèi)容組成:

  • 響應(yīng)語法的版本;

  • 響應(yīng)者的標(biāo)識符;

  • 生成響應(yīng)的時間;

  • 對請求中每個證書的響應(yīng);

  • 可選擇的擴(kuò)展;

  • 簽名算法的OID;

  • 響應(yīng)的數(shù)字簽名。


3、對請求中證書的響應(yīng)由如下內(nèi)容組成:

  • 目標(biāo)證書標(biāo)識符;

  • 證書狀態(tài)值;

  • 響應(yīng)有效間隔;

  • 可選的擴(kuò)展。


4、本文件對證書狀態(tài)值規(guī)定了如下響應(yīng)標(biāo)識符:

  • good(在用):表示證書是有效的在用證書。此響應(yīng)表示在其有效期內(nèi)所請求證書序列號的證書沒有被撤銷,但并不一定意味著該證書曾經(jīng)被簽發(fā)過,或產(chǎn)生響應(yīng)的時間是在證書有效性期內(nèi)。另外,響應(yīng)擴(kuò)展可提供關(guān)于證書狀態(tài)信息的附加聲明,例如已簽發(fā)、有效期等;

  • revoked(已撤銷):表示證書已被凍結(jié)(撤銷原因是凍結(jié))或永久的撤銷。如果相關(guān)聯(lián)的CA沒有簽發(fā)所請求證書的記錄,也可能返回此狀態(tài);

  • unknown(未知):表示響應(yīng)器不能鑒別待驗證狀態(tài)的證書。通常是因為該響應(yīng)器無法識別驗證請求所包含的頒發(fā)者。


5、當(dāng)響應(yīng)器向未簽發(fā)證書的狀態(tài)請求發(fā)送“已撤銷”響應(yīng)時,響應(yīng)器應(yīng)在響應(yīng)中包含擴(kuò)展撤銷定義(見7.4.9),從而表明OCSP響應(yīng)器支持“已撤銷”狀態(tài)的擴(kuò)展定義,以涵蓋未簽發(fā)的證書。另外,未簽發(fā)證書與SingleResponse結(jié)構(gòu)字段(見7.3.1)相關(guān)?!耙殉蜂N”響應(yīng)應(yīng)符合以下要求:

  • 應(yīng)明確指出撤銷原因是凍結(jié);

  • 應(yīng)明確指出撤銷時間是1970年1月1日;

  • 不能包括CRL引用擴(kuò)展(見7.4.3)或任何CRL條目擴(kuò)展(見7.4.6)。