Обычный OCSP (RFC 6960)

Я написал Ответчик OCSP, где Ответ основывался на RFC 6960, в котором говорится, что:

Если nextUpdate не установлено, респондент указывает, что более новая информация об отзыве доступна постоянно.

Поэтому я не установил nextUpdate и просто использовал BouncyCastle BasicOCSPRespBuilder как здесь (который устанавливает thisUpdate по умолчанию, что также видно в Wireshark Capture):

basicOCSPRespBuilder.addResponse(certID, responseList.get(certID));

Но эти ответы были отклонены аутентификатором сертификата в IIS. При попытке certutil статус ответа всегда был "Истек".

Это было проверено с помощью команды "certutil -url ".

Легкий OCSP (RFC 5019)

Немного погуглив, выяснилось, что Microsoft поддерживает облегченный OCSP согласно RFC 5019, который гласит:

Клиенты ДОЛЖНЫ проверять наличие поля nextUpdate и ДОЛЖНЫ обеспечивать, чтобы текущее время, выраженное в времени по Гринвичу, как описано в разделе 2.2.4, находилось между значениями thisUpdate и nextUpdate. Если поле nextUpdate отсутствует, клиент ДОЛЖЕН отклонить ответ.

Поэтому я изменил реализацию, включив в нее дату следующего обновления (через несколько минут), как показано ниже:

basicOCSPRespBuilder.addResponse(certID, responseList.get(certID), getNextUpdateDate(), null);

Это избавило меня от проблемы состояния "Истек срок действия", но теперь проблема заключается в том, что при развертывании на веб-сервере и попытке выполнить проверку "certutil -url " он возвращает "Проверено" для ссылки WebProxy в сертификате, но если я предоставлю URL-адрес сервера напрямую, он отобразит "ОК". Структура ответа остается одинаковой в обоих случаях, так как это один и тот же респондент (проверено с помощью Wireshark Capture, я мог бы прикрепить это также, если хотите).

поле IssueKeyHash

Интересным фактом здесь является то, что запросы OCSP, отправленные на сервер, отличаются в случае использования через WebProxy и прямой URL. Разница в том, что запрос OCSP не включает issuerKeyHash при отправке запроса по прямой ссылке.

Wireshark перехватывает запрос OCSP, отправленный Webproxy, который возвратил "Проверено":-

Wireshark Capture of OCSP Запрос отправлен по прямой ссылке, которая вернула статус "ОК":-

Вопрос заключается в том, почему запрос включает в один и тот же ключ IssueKeyHash, а в другом - нет. Кроме того, почему Состояние не одинаково для обоих запросов, даже несмотря на то, что Ответ OCSP от Сервера одинаков (подтверждено Wireshark Caputres).

Я также был бы признателен за любую полезную документацию / ссылку для "инструмента поиска URL" или "certutil -verify" в этом отношении.

Я также могу включить захваты Wireshark по запросу.

Я не включил Java и Bouncycastle в качестве тегов, так как ответы OCSP принимаются Java, openssl и т. Д. Без каких-либо проблем (с или без nextUpdate согласно RFC 6960). Этот вопрос предназначен для понимания того, что происходит с Microsoft certutil и проверкой OCSP здесь.

Обновление № 1

--- Начните обновление #1 ---

По предложению @ Crypt32; Я мог убедиться, что при использовании URL-адреса в поле URL-адреса полный путь к сертификату не создается по неизвестным причинам и, следовательно, из-за отсутствия IssuerKeyHash,

Предполагалось, что ответ всегда содержит IssuerKeyHash и это может привести к статусу "ОК" вместо "Подтверждено". Чтобы подтвердить это, я изменил ответ в соответствии с запросом и не отправил IssuerKeyHash если он не был доставлен в Запросе, но статус остался "ОК" и не изменился на "Подтверждено".

Идея состоит в том, чтобы правильно понять, как Приложения Microsoft обрабатывают Ответы OCSP и как правильно реализовать Ответчик, чтобы Приложения Microsoft не падали им на лицо.

Исследования продолжаются, любые советы и предложения приветствуются!

--- Конец обновления #1 ---