Ero sivun ”Digivirasto/OCSP” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
(Ak: Uusi sivu: '''Online Certificate Status Protocol''' (''OCSP'') on varmenteen tilan kyselyyn tarkoitettu yhteyskäytäntö. OCSP:n pääsivulta löytyy yleisempää tieto...)
 
 
Rivi 7: Rivi 7:
 
Intermediate CA:n sulkulista on voimassa vuoden verran.
 
Intermediate CA:n sulkulista on voimassa vuoden verran.
  
Eli alla olevissa esimerkeissä näkyy että G1 henkilökorttien '''This Update''' sulkulista on luotu vähän ennen tasatuntia ja G2 henkilökorttien lista vuorostaan pari minuuttia tasatunnin jälkeen.
+
Eli alla olevissa esimerkeissä näkyy että G1 henkilökorttien '''This Update''' sulkulista on luotu vähän ennen tasatuntia ja G2 henkilökorttien lista vuorostaan pari minuuttia tasatunnin jälkeen. Digivirastolla tuntuu kestävän noin 10 minuuttia ennen kuin juuri luodut sulkulistat ilmestyvät heidän ulkoiselle palvelimelle ja vasta sen jälkeen niitä aletaan käyttämään '''OCSP''' vastauksissa.
  
 
=== G1: VRK Gov. Root CA ===
 
=== G1: VRK Gov. Root CA ===

Nykyinen versio 17. maaliskuuta 2021 kello 19.32

Online Certificate Status Protocol (OCSP) on varmenteen tilan kyselyyn tarkoitettu yhteyskäytäntö. OCSP:n pääsivulta löytyy yleisempää tietoa siitä.

Digiviraston tarjoamat OCSP palvelut

Riipuen henkilökortin generaatiosta varmenteessa on OCSP asetukset joko kokonaan mukana tai vain osittain mukana. Itse sulkulistan päivitys henkilökorteile tapahtuu ilmeisesti reaaliajassa ja jos päivityksiä ei tule niin joka tapauksessa sulkulistat luodaan uudestaan kerran tunnissa ja sulkulistatieto on voimassa kahdeksan tuntia, vaikka siis uusi tuleekin jo vähintään tunnin päästä.

Intermediate CA:n sulkulista on voimassa vuoden verran.

Eli alla olevissa esimerkeissä näkyy että G1 henkilökorttien This Update sulkulista on luotu vähän ennen tasatuntia ja G2 henkilökorttien lista vuorostaan pari minuuttia tasatunnin jälkeen. Digivirastolla tuntuu kestävän noin 10 minuuttia ennen kuin juuri luodut sulkulistat ilmestyvät heidän ulkoiselle palvelimelle ja vasta sen jälkeen niitä aletaan käyttämään OCSP vastauksissa.

G1: VRK Gov. Root CA

Intermediate CA:ssa ei ole OCSP tietoja, joten järjestelmät eivät voi tarkistaa sitä automaattisesti. Tarkistuksen voi kuitenkin tehdä http://ocsp.fineid.fi/vrkrootc urlista.

openssl ocsp -CApath certs -issuer certs/vrkrootc.pem -cert certs/vrkcqc2.pem -url http://ocsp.fineid.fi/vrkrootc
Response verify OK
certs/vrkcqc2.pem: good
        This Update: Dec  4 07:32:45 2020 GMT
        Next Update: Dec  4 07:32:45 2021 GMT

Itse henkilövarmenteessa on OCSP tiedot mukana:

openssl x509 -in certs/cert1.pem -text -noout
Certificate:
...
            Authority Information Access: 
                CA Issuers - URI:http://proxy.fineid.fi/ca/vrkcqc2.crt
                OCSP - URI:http://ocsp.fineid.fi/vrkcqc2
...

jolloin tarkistuksen voi tehdä esim seuraavasti:

openssl ocsp -CApath certs -issuer certs/vrkcqc2.pem -cert certs/cert1.pem -url http://ocsp.fineid.fi/vrkcqc2
Response verify OK
certs/cert1.pem: good
        This Update: Mar 17 17:58:59 2021 GMT
        Next Update: Mar 18 01:58:59 2021 GMT

G2: VRK Gov. Root CA - G2

Sekä henkilövarmenteessa että Intermediate CA:ssa on OCSP tiedot mukana.

openssl x509 -in certs/vrkcqc3.pem -text -noout
Certificate:
...
            Authority Information Access: 
                OCSP - URI:http://ocsp.fineid.fi/vrkroot2c
                CA Issuers - URI:http://proxy.fineid.fi/ca/vrkroot2c.crt
...

Eli tarkistus tapahtuu esim seuraavasti:

openssl ocsp -CApath certs -issuer certs/vrkroot2c.pem -cert certs/vrkcqc3.pem -url http://ocsp.fineid.fi/vrkroot2c
Response verify OK
certs/vrkcqc3.pem: good
        This Update: Jun 15 07:44:17 2020 GMT
        Next Update: Jun 15 07:44:17 2021 GMT

Ja vastaavasti henkilövarmenteelle:

openssl x509 -in certs/cert3.pem -text -noout
Certificate:
...
            Authority Information Access: 
                CA Issuers - URI:http://proxy.fineid.fi/ca/vrkcqc3.crt
                OCSP - URI:http://ocsp.fineid.fi/vrkcqc3
...

Ja tarkistus tapahtuu esim seuraavasti:

openssl ocsp -CApath certs -issuer certs/vrkcqc3.pem -cert certs/cert3.pem -url http://ocsp.fineid.fi/vrkcqc3
Response verify OK
certs/cert3.pem: good
        This Update: Mar 17 18:01:32 2021 GMT
        Next Update: Mar 18 02:01:32 2021 GMT