Referenzimplementierung lehnt OCSP-Responses mit mehr als einem Zertifikat im Attribut "certs" ab

[KoCoPST]

Aktuell lehnt die Referenzimplementierung TucPki006OcspVerifier.java eine OCSP-Response mit mehr als einem Zertifikat im Attribut "certs" ab. In der Beispielresponse wird das EE-Zertifikat des Signers sowie seine CA im Attribut "certs" versendet.

Gemäß der Anforderung 8.3.2.2 TUC_PKI_006 „OCSP-Abfrage“ gibt es keine spezifische Einschränkung, die dem OCSP-Responder verbieten würde, mehrere Zertifikate in der Response im Attribut "certs" zurückzugeben.

Die Spezifikation beschreibt die Notwendigkeit, dass OCSP-Responder die Anfragen gemäß RFC 6960 beantworten müssen.

In RFC 6960 gibt es dazu keine explizite Einschränkung, die die Anzahl der Zertifikate im certs-Attribut begrenzt, sodass mehrere Zertifikate technisch erlaubt sind, wenn sie den Zweck der Validierung erfüllen. Sinnvoll ist hier, dass das CA-Zertifikat neben dem EE-Zertifikat versendet wird, um die Vertrauenskette zu vervollständigen.

Wir verwenden die Referenzimplementierung im HSK. In unserer Testumgebung sendet der OCSP zwei Zertifikate, weshalb es bei den Tests zu einem Fehler kommt.

[RStaeber]

Ja stimmt, so ist das derzeitige Verhalten der Implementierung und es ist nicht korrekt. Es gibt bereits ein internes Ticket dafür und soll im Februar erledigt sein.

[KoCoPST]

Super, vielen Dank für das schnelle Feedback.

[RStaeber]

War Zufall - wir haben vor 10 Minuten darüber im Refinement gesprochen ;-)

[RStaeber]

Version 3.1.1 unterstützt OCSP-Responses mit mehreren Zertifikaten.