信安標委(wěi)發布《信(xìn)息安全技(jì)術 公鑰基礎設施(shī) 在線證書狀態協(xié)議》(征(zhēnɡ)求意見稿(ɡǎo))
發布時(shí)間 2023-04-12近日,全國信息(xī)安全標準化技術委(wěi)員會發布(bù)了《信息(xī)安全技術 公鑰基(jī)礎設施 在線證書狀態協議》(征求(qiú)意見稿)(以下簡稱《在線證書狀態(tài)協議》)。
《在線證書狀態協(xié)議》按照(zhào)GB/T 1.1—2020《標準化工作導則 第1部分:標準化文件(jiàn)的結構和(hé)起草規則(zé)》的規定(dìnɡ)起草,代替(tì)GB/T 19713—2005《信息技術 安全技(jì)術 公鑰基礎設施(shī)在線證書狀態協議》。
《在線證書狀態協(xié)議》規定(dìnɡ)了面向公(ɡōnɡ)鑰基礎設施的在線證書狀態(tài)協議(OCSP),此(cǐ)協議是一(yī)種無需請求證書撤(chè)銷列表(CRL)即可查詢數字證書狀態的協(xié)議,包括(kuò)總則、功能要求(qiú)、具(jù)體協議等(děnɡ),適用于公鑰基礎設施(shī)的建設以(yǐ)及應用在(zài)線證書狀態協議的(de)依賴方等(děnɡ)。
概述
OCSP作為查詢CRL的(de)替代方法(fǎ)或補充方(fānɡ)法,對需實(shí)時獲得數字證書撤(chè)銷狀態相(xiānɡ)關信息的(de),OCSP是必(bì)不可少的(de)。
OCSP能使應用(yònɡ)程序獲得(dé)某個目標證書的撤(chè)銷狀態,OCSP可提供(ɡònɡ)比檢查CRL更實(shí)時的撤銷狀態信息(xī),還可提(tí)供附加的(de)狀態信息(xī)。OCSP客戶端向OCSP響應器發出一(yī)個狀態請求時,需暫停接受待(dài)驗證的證書,直(zhí)到響應器(qì)提供響應為止!对诰證書狀態協(xié)議》規定(dìnɡ)了查驗證書狀態的(de)應用程序(xù)和提供證書狀態查(chá)詢的響應器之間需(xū)要交換的(de)數據。
請求
《在線證書狀態協(xié)議》指明(mínɡ)了OCSP請求包(bāo)括的數據內容及響應器接受(shòu)請求時對請求數據格式的要(yào)求。
1、OCSP請求包(bāo)含以下數據:
協議版本(běn);
服務請求(qiú);
目標證書標識符;
OCSP響應器可(kě)處理的可(kě)選擴展,比如:OCSP客戶端的(de)簽名、隨機(jī)數。
2、在接受(shòu)到請求時(shí),OCSP響應器應確定(dìnɡ):
報文格式(shì)是否正確;
響應器是(shì)否配置了(le)所要求的(de)服務;
請求是否(fǒu)包含了響應器需要(yào)的信息。
如果上述任一條件(jiàn)不滿足,OCSP響應器(qì)將返回一(yī)個錯誤信(xìn)息;否(fǒu)則,將返回(huí)一個明確的響應。
響應
OCSP響應由響應類型和(hé)響應實體兩部分組成,根據實際情況,響應可有不(bù)同類型。
1、所有確定的響應報文都應進行數字(zì)簽名,用于響應簽名的(de)密鑰應符(fú)合下列條(tiáo)件之一:
簽發待驗證證書的(de)CA密鑰;
CA指定(dìnɡ)的響應器(qì)(即授權的響應器(qì),見7.3.2.2)的密(mì)鑰,該響應器擁有一(yī)個CA直(zhí)接簽發的(de)帶有擴展(zhǎn)密鑰用法(fǎ)id-kp-OCSPSigning(見GB/T 20518—2018 5.2.4.2.5)的證書,該擴(kuò)展項指明(mínɡ)該響應器(qì)可為CA簽發OCSP響應;
可信賴的(de)響應器密(mì)鑰,即客(kè)戶端信任(rèn)該響應器(qì)的密鑰。
2、響應消(xiāo)息由如下(xià)內容組成(chénɡ):
響應語法(fǎ)的版本;
響應者的(de)標識符;
生成響應的時間;
對請求中(zhōnɡ)每個證書的響應;
可選擇的(de)擴展;
簽名算法(fǎ)的OID;
響應的數字簽名。
3、對請求中證書的響應由(yóu)如下內容(rónɡ)組成:
目標證書標識符;
證書狀態(tài)值;
響應有效(xiào)間隔;
可選的擴(kuò)展。
4、本文(wén)件對證書狀態值規定了如下(xià)響應標識符:
good(在用):表示證書是有效(xiào)的在用證書。此響應表示在其(qí)有效期內所請求證書序列號的證書沒(méi)有被撤銷,但(dàn)并不一定(dìnɡ)意味著該證書曾經被簽發過,或產生響應的時間是在證書有效性期(qī)內。另(lìnɡ)外,響應擴展可(kě)提供關于(yú)證書狀態(tài)信息的附(fù)加聲明,例如已(yǐ)簽發、有效期等(děnɡ);
revoked(已撤銷):表示證書已被凍結(撤銷原因是凍結)或永(yǒnɡ)久的撤銷。如果(ɡuǒ)相關聯的(de)CA沒有(yǒu)簽發所請求證書的(de)記錄,也(yě)可能返回(huí)此狀態;
unknown(未知):表示響應器不能鑒別待驗證狀態的證書。通(tōnɡ)常是因為該響應器(qì)無法識別(bié)驗證請求(qiú)所包含的(de)頒發者。
5、當響應器向未簽發證書的(de)狀態請求(qiú)發送“已(yǐ)撤銷”響應時,響應器應在(zài)響應中包(bāo)含擴展撤(chè)銷定義(見7.4.9),從而表(biǎo)明OCSP響應器(qì)支持“已(yǐ)撤銷”狀態的擴展(zhǎn)定義,以涵(hán)蓋未簽發(fā)的證書。另(lìnɡ)外,未簽發(fā)證書與SingleResponse結構字(zì)段(見7.3.1)相關!耙殉(xùn)蜂N”響應應符合(hé)以下要求(qiú):
應明確指(zhǐ)出撤銷原(yuán)因是凍結;
應明確指(zhǐ)出撤銷時(shí)間是1970年1月1日;
不能包括(kuò)CRL引(yǐn)用擴展(見7.4.3)或(huò)任何CRL條目擴(kuò)展(見7.4.6)。