Назад | Перейти на главную страницу

«Следующее обновление» отсутствует в ответе OCSP

В общем и целом

Я экспериментирую, чтобы настроить частный PKI с помощью OpenSSL на компьютере с CentOS 7. Все работает нормально, за исключением того, что в ответе OCSP отсутствует строка «Следующее обновление».

Системы

Синдромы

Когда я протестировал сертификат TLS из этого PKI на локальном ответчике OCSP, я получил следующие результаты:

Response verify OK
certs/abc.com.pem: good
        This Update: Sep 24 18:04:31 2019 GMT

Я искал в Интернете, много Примеры там показать Следующее обновление линия прямо под This Update строка в ответе OCSP. Например

openssl ocsp -issuer chain.pem -cert wikipedia.pem -url http://ocsp.digicert.com
wikipedia.pem: good
    This Update: Apr  9 08:45:00 2014 GMT
    Next Update: Apr 16 09:00:00 2014 GMT

Это не большая проблема, пока не будет использоваться сшивание HAProxy OCSP. Сшивание HAProxy OCSP, похоже, не принимает ответ OCSP без строки «Следующее обновление».

Вопрос

Кто-нибудь знает, почему здесь в ответе OCSP отсутствует строка «Следующее обновление»? Как включить эту строку в ответ OCSP?

Я попробовал Ubuntu 18.04 LTS с поставляемым пакетом OpenSSL и получил ту же проблему.

Спасибо!

Из раздела 4.2.2.1 RFC 6960 - протокол статуса онлайн-сертификата инфраструктуры открытых ключей Интернета X.509 - OCSP:

Если nextUpdate не установлен, отвечающий указывает, что более новая информация об отзыве доступна все время.

Между тем раздел 2.2.4 из RFC 5019 - Профиль облегченного протокола состояния онлайн-сертификатов (OCSP) для сред с большим объемом говорит:

nextUpdate

Время, в которое или до которого будет доступна более новая информация о статусе сертификата. Ответчики ДОЛЖНЫ всегда включать это значение для помощи в кэшировании ответов.

Итак, похоже, что ваш клиент ожидает облегченного ответчика OCSP.

Беглый взгляд на страницу руководства OpenSSL OCSP показывает следующее:

-нмин минут, -пн. дни

Количество минут или дней, когда доступна свежая информация об отзыве: используется в поле nextUpdate. Если ни одна из опций отсутствует, поле nextUpdate опускается, что означает немедленную доступность новой информации об отзыве.

Попробуйте добавить -nmin 5 или аналогично командной строке при запуске службы OpenSSL OCSP.