Статус: Активный участник
Группы: Участники
Зарегистрирован: 04.10.2011(UTC)
Сообщений: 74
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Здравствуйте, подскажите пожалуйста каким образом должны валидироваться временные поля(thisUpdate, nextUpdate, producedAt) в ocsp ответе? верно ли что thisUpdate>=producedAt>nextUpdate (nextUpdate != null)? в RFC 2560 Цитата:
3.2 Signed Response Acceptance Requirements
...
5. The time at which the status being indicated is known to be
correct (thisUpdate) is sufficiently recent.
Каким образом определить sufficiently recent? Если возможно, перечислите проверки которые необходимо провести для валидации временных полей ocsp ответа. Спасибо!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924  Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Здравствуйте!
thisUpdate - время, на которое информация об отзыве сертификата была актуальной.
nextUpdate - время, когда будет следующее обновление информации об отзыве.
producedAt - время выпуска OCSP-ответа.
Пример - служба работает по CRL, тогда thisUpdate - время выпуска CRL, nextUpdate - время следующего обновления CRL.
Как проверять эти поля - зависит от того, что вам нужно проверить. sufficiently recent - также зависит от ваших целей.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 04.10.2011(UTC)
Сообщений: 74
Откуда: Moscow
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Возможно я не верно понял Вашу фразу "Как проверять эти поля - зависит от того, что вам нужно проверить.",
мне необходимо проверить, что сертификат был актуален на момент получения статуса и значения, в которых указано время, не противоречат этому.
Допустим если producedAt > nextUpdate то информация о статусе устарела, и если я не ошибаюсь, то такой ocsp ответ не подтверждает валидности сертификата.
Изначально вопрос возник, когда я получил ocsp ответ в котором thisUpdate > producedAt. То есть время подписи ответа было меньше времени на которое инфа об отзыве была актуальна.
Это конечно укладывается в голове, но вопрос остается открытым: может ли thisUpdate > producedAt?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Я имела в виду более специфические проверки. Например, что информация о статусе получена не более n минут назад и т.д. Такие проверки зависят от разрабатываемой системы.
Если thisUpdate > producedAt, то скорее всего есть рассинхронизация между часами службы штампов и часами на том сервере, окуда получается информация о статусе сертификатов. RFC 2560 не дает четких указаний, принимать ли такие ответы. В этом случае решение следует принимать исходя из требований разрабатываемой системы и здравого смысла :-)
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
