Практически это запрос для получения дополнительной информации по вопросу: OpenSSL certificate revocation check in client program using OCSP staplingOpenSSL проверки отзыва сертификатов в программе клиента с помощью OCSP сшивание 2
Я хочу знать, как OpenSSL фактически обрабатывает OCSP ответ переплета. Вопросы:
1. Проверяет ли OpenSSL подпись, ключ/имя хеширования эмитента ответа?
2. Отвечает ли ответ на ответы OCSP для всей цепочки сертификатов? Если да, существует ли способ узнать, что одна из проверок не прошла?
3. Подводя итог, могу ли я просто положиться на поле «Cert Status: good» ответа? :)
Мое беспокойство заключается в том, что хакер может создавать https-сервер с использованием отозванного (украденного) сертификата, но во время рукопожатия предоставляет действительный сшитый ответ OCSP для случайного веб-сайта, который был сертифицирован одним и тем же эмитентом ЦА. Может ли OpenSSL справиться с такой ситуацией?
Образца ответ OCSP можно найти здесь https://www.feistyduck.com/library/openssl-cookbook/online/ch-testing-with-openssl.html#testing-ocsp-stapling
Stack Overflow - это сайт для вопросов программирования и разработки. Этот вопрос кажется вне темы, потому что речь идет не о программировании или разработке. См. [Какие темы можно задать здесь] (http://stackoverflow.com/help/on-topic) в Справочном центре. Возможно, лучше спросить [Суперпользователя] (http://superuser.com/) или [Информационный стековый обмен] (http://security.stackexchange.com/). Также [Где я размещаю вопросы о Dev Ops?] (Http://meta.stackexchange.com/q/134306). – jww