【发布时间】:2016-04-12 22:14:59
【问题描述】:
这几乎是要求提供有关该问题的其他信息: OpenSSL certificate revocation check in client program using OCSP stapling
我想知道 OpenSSL 是如何实际处理 OCSP 装订响应的。问题是:
1. OpenSSL 是否检查响应的签名、颁发者密钥/名称哈希?
2. 响应是否包括整个证书链的 OCSP 响应?如果是这样,有没有办法知道其中一个验证失败了?
3. 总而言之,我可以简单地依赖响应的“Cert Status:good”字段吗? :)
我担心黑客可能会使用已撤销(被盗)的证书制作 https 服务器,但在握手期间为由同一 CA 颁发者认证的随机网站提供有效的装订 OCSP 响应。 OpenSSL 能处理这种情况吗?
可在此处找到示例 OCSP 响应 https://www.feistyduck.com/library/openssl-cookbook/online/ch-testing-with-openssl.html#testing-ocsp-stapling
【问题讨论】:
-
Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了,因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Super User 或Information Security Stack Exchange 会是一个更好的提问地方。还有Where do I post questions about Dev Ops?.