【发布时间】:2018-09-06 01:52:52
【问题描述】:
当在 c 中使用 openssl 来验证常规 OCSP(非装订)中的 nonce 时,我使用这个: OCSP_check_nonce(请求,基本响应)。
如果我想在 OCSP 装订中验证 nonce 作为客户端,由于我没有请求,我该怎么做?
有没有办法告诉服务器使用什么随机数?
谢谢。
【问题讨论】:
标签: ocsp
【发布时间】:2018-09-06 01:52:52
【问题描述】:
Nonce 在装订的 OCSP 响应中没有意义。 OCSP Nonce 背后的想法是指示 OCSP 服务器使自己的缓存无效并生成/签署新的响应。
当web服务器使用OCSP装订时,服务器会提前得到响应并缓存。这实际上与在没有 nonce 的情况下查询 OCSP 服务器相同(有机会获得缓存的响应)。从技术上讲,OCSP without nonce 和 OCSP stapling 是指处理缓存信息,与 nonce 不兼容。
如果您想使用 nonce 验证证书,您必须忽略装订的 OCSP 响应,创建自己的 OCSP 请求(使用 nonce)并将其提交给 OCSP 服务器。
【讨论】:
-
非常感谢