Коллеги, добрый день!
Прошу Вас прочитать мое видение "неправильной" логики работы КриптоПро ЭЦП Browser plug-in в части усовершенствованной электронной подписи, проанализировать, дать комментарии и возможно провести доработки (если мои мысли будут верными).
Предыстория:
1. Я являюсь представителем УЦ, который выпускает для пользователей ключи и сертификаты (улучшенные). Пользователи используют ключи и сертификаты в корпоративной ИС совместно с КриптоПро CSP и КриптоПро ЭЦП Browser plug-in.
2. Для предоставления услуг OCSP и TSP я применяю соответствующие службы. Не КриптоПро!!!
Моя служба OCSP не проставляет (не всегда проставляет) поле nextUpdate (nextUpdate:null).
3. КриптоПро ЭЦП Browser plug-in считает это ошибкой и пишет: OCSP response thisUpdate is more then nextUpdate.

Попробовал проанализировать ситуацию. Вот что получилось:

По RFC 2569 поведение OCSP службы допустимо:
http://tools.ietf.org/html/rfc2560#section-2.4
nextUpdate: The time at or before which newer information will be
available about the status of the certificate
…
If nextUpdate is not set, the responder is indicating that newer
revocation information is available all the time.


Т.е. можно не устанавливать поле nextUpdate.
Таким образом, можно сказать, что КриптоПро клиент OCSP не соответствует п.п.6 раздела 3.2 в части «when available»:
http://tools.ietf.org/html/rfc2560#section-3.2
6. When available, the time at or before which newer information will
be available about the status of the certificate (nextUpdate) is
greater than the current time.

Другое дело, что в RFC написано, что клиенту СЛЕДУЕТ (SHALL) выполнять пункты этого раздела, что подразумевает некоторое послабление со стороны стандарта. Было бы написано ДОЛЖЕН (MUST), вопросов было бы меньше.

Что скажете? Можно ли попросить провести соответствующую доработку Вас?

К сожалению, мне придется вас разочаровать по части формулировки SHALL.

SHALL - это ОБЯЗАТЕЛЬНОЕ требование, потому что это не SHOULD, а SHALL.
Это определено в специальном RFC: http://www.ietf.org/rfc/rfc2119.txt