OCSP-Überprüfung des Zertifikatswiderrufs
Das Anwendungsdefinitionsfeld Online Certificate Status Protocol (OCSP) Certificate Revocation Checking legt fest, ob die OCSP-Zertifikatswiderrufsprüfung mit AIA-Zertifikatserweiterungsinformationen durchgeführt wird und ob OCSP-Stapling aktiviert oder erforderlich ist.
- Die OCSP-AIA-Prüfung ist aktiviert.
- Das zu validierende Zertifikat hat eine AIA-Erweiterung mit einer PKIK_AD_OCSP-Zugriffsmethode, die eine URI des HTTP -Standorts des OCSP-Responders enthält.Hinweis: Der erste OCSP-Responder, der in der AIA-Erweiterung angegeben ist, wird nach dem Widerrufsstatus abgefragt.
Wenn Sie die OCSP-Heftung für eine Clientanwendung aktivieren, fordert der Client die OCSP-Heftung an, indem er die Erweiterung der Zertifikatsstatusanforderung als Teil des Client-Hello sendet. Serveranwendungen mit aktiviertem OCSP-Stapling unterstützen die Erweiterung der Zertifikatsstatusanforderung und fragen den OCSP-Responder für den Client ab, wenn die Erweiterung empfangen wird.
Eine Clientanwendung kann auch angeben, dass sie OCSP-Stapling erfordert. Wenn der Client also keine geheftete OCSP-Antwort vom Server empfängt und das Zertifikat des Servers angibt, dass es geheftet werden muss, schlägt der Client die sichere Verbindung fehl.
Der Standardwert für das Feld ist *PGM. Dies bedeutet, dass das Programm, das diese "Anwendungs-ID" verwendet, das Attribut auf den entsprechenden Wert setzt. Alle Systemattribute von System TLS haben einen anfänglichen Standardwert. Für dieses Attribut ist der Standardwert für die AIA-Prüfung und die OCSP-Heftunginaktiviert. Programme können OCSP-AIA und OCSP-Stapling mit gsk_attribute_set_enum () explizit aktivieren oder inaktivieren.
Wenn *PGM nicht zur OCSP-AIA-Validierung führt und eine Widerrufsprüfung gewünscht wird, setzen Sie dieses Feld auf "Enable". Die interne Einstellung wird überschrieben und die OCSP-Überprüfung erfolgt, wenn AIA-Informationen verfügbar sind.
Wenn *PGM nicht zu OCSP-Stapling führt und Unterstützung gewünscht wird, setzen Sie dieses Feld auf "Stapling". Die interne Einstellung wird überschrieben und OCSP-Stapling wird von Clientanwendungen angefordert und von Serveranwendungen unterstützt. Darüber hinaus wird dadurch die OCSP-AIA-Überprüfung aktiviert, wenn AIA-Informationen im Zertifikat verfügbar sind.
Wenn Sie dieses Feld auf "Stapling Required" setzen, wird die interne Einstellung überschrieben und die OCSP-AIA-Prüfung für Client-und Serveranwendungen aktiviert, die OCSP-Stapling für Client-und Serveranwendungen aktiviert und die OCSP-Stapling für Clientanwendungen erfordert.
Wenn *PGM zur OCSP-AIA-Validierung oder OCSP-Staplingführt, die Widerrufsprüfung jedoch nicht erwünscht ist, setzen Sie dieses Feld auf "Inaktivieren". Durch die Inaktivierung von OCSP wird das Sicherheitsmodell für die Anwendung geschwächt. Verwenden Sie daher Due Diligence, bevor Sie diese Auswahl treffen.