OCSP (Online Certificate Status Protocol) е начин за проверка на валидността на удостоверенията за електронен подпис. OCSP следва да замени или поне да даде по-добра алтернатива на CRL (Certificate revocation list), който е традиционния и нормативно задължителен метод за проверка. Ето какво е положението и качеството на тази услуга при българските доставчици:
Информационно обслужване
Базовото (root) и оперативното удостоверение не посочват OCSP сървър. Такъв е посочен в Наръчника на потребителя – ocsp.stampit.org, какъвто хост към момента не съществува:
$ host ocsp.stampit.org
Host ocsp.stampit.org not found: 3(NXDOMAIN)
Имат публикувано удостоверение на OCSP съвъра. Актуалното удостоверение на Информационно обслужване е най-новото от всички базови удостоверения на доставчиците, така че не е въпрос на техническа възможност, а по-скоро е показателно за нуждата от услугата.
Банксервиз
Банксервиз имат няколко йерархии от базови удостоверения, които посочват ocsp.b-trust.org. Попитах ги за валидността на серийния номер на сертификата за сайта им:
$ openssl ocsp -issuer RootCA5_PEM.cer -serial 0x1E8518 -url http://ocsp.b-trust.org
0x1E8518: unknown
This Update: Apr 8 07:17:14 2011 GMT
Next Update: Apr 7 07:17:14 2012 GMT
Базовото удостоверение (RootCA5_PEM.cer), което бе издало оперативния сертификат (OperCA5AES_PEM.cer), подписал сървърния сертификат нямаше информация за валидността на този сериен номер. Очаквах проверката да може да се извърши само с подаване на базовото удостоверение на сертификационната верига, но това поведение ме накара да погледна по-внимателно т.4.1.1 от Протокола. Когато подадох оперативния сертификат се валидира успешно:
openssl ocsp -issuer OperCA5AES_PEM.cer -serial 0x1E8518 -url http://ocsp.b-trust.org
0x1E8518: good
This Update: Dec 10 11:02:29 2011 GMT
Next Update: Jan 9 11:02:29 2012 GMT
Направи ми впечатление дългия срок на валидност на отговора – следващото обновяване ще е след месец, а за базовите след година. Много имплементации използват този срок и кешират отговора до неговото изтичане. Кеширането сваля товара от сървъра, но считам това за твърде дълъг период, имайки предвид възможните последици.
По причина в Банксервиз или в Firefox възможността за проверка на OCSP във Firefox не се справя с техните удостоверения. Функционалността е нова и още има проблеми с разнообразните имплементации (1,2).
Инфонотари
Инфонотари посочват http://ocsp.infonotary.com/responder.cgi за адрес на своята OCSP услуга. Попитах ги за валидността на сертификат с невалиден номер и те ми отговориха, че е валиден:
openssl ocsp -issuer qs.infonotary.crt -serial 0xded0ebebaba -url http://ocsp.infonotary.com/responder.cgi
0xded0ebebaba: good
This Update: Mar 8 11:44:46 2011 GMT
Next Update: Mar 7 11:44:51 2012 GMT
След това ги попитах и за валидността на изтекъл сертификат и те отново ми отговориха, че е валиден:
openssl ocsp -issuer qs.infonotary.crt -serial 0xDCBCD8E1D0CC3E9E -url http://ocsp.infonotary.com/responder.cgi
0xDCBCD8E1D0CC3E9E: good
This Update: Mar 8 11:44:46 2011 GMT
Next Update: Mar 7 11:44:51 2012 GMT
Може да проверите на сайта им, че сертификат с номер DCBCD8E1D0CC3E9E е изтекъл на 2010-07-02, което е осем месеца преди посочения срок на обновяване на информацията.
Спектър
Root сертификата на Спектър не сочи ресурс за OCSP, но такъв е добавен в оперативния им сертификат – ocsp.spektar.org. Първо ги попитах за валидността на изтеклия им оперативен сертификат, който се оказа непознат:
openssl ocsp -issuer spektar.root.crt -serial 0x611e5fe1000000000005 -url http://ocsp.spektar.org
0x611e5fe1000000000005: unknown
This Update: Dec 10 18:40:52 2011 GMT
Next Update: Dec 10 18:45:52 2011 GMT
Да, базовия им сертификат не сочи OCSP, така че може да не дава информация по този начин. Попитах настоящия им оперативен сертификат за квалифициран подпис за измислен сериен номер:
openssl ocsp -issuer spektar.qca.crt -serial 0xdabeda -url http://ocsp.spektar.org
0xded0baba: good
This Update: Nov 28 12:24:20 2011 GMT
Next Update: Dec 10 18:47:52 2011 GMT
За сериен номер 0 също ми каза, че е good, така че не се притеснявам. Любопитно при Спектър беше въведеното ограничение на броя заявки (ratelimit) като защита срещу DoS атаки.
СЕП
СЕП в базовото и оперативно удостоверение сочат ocsp.mobisafe.bg като адрес за тази услуга. Този поддомейн е alias на e-sign.mobisafe.bg, където в отделна директория е сайта, но не и OCSP услугата.