Ero sivun ”Digivirasto/OCSP” versioiden välillä
(Ak: Uusi sivu: '''Online Certificate Status Protocol''' (''OCSP'') on varmenteen tilan kyselyyn tarkoitettu yhteyskäytäntö. OCSP:n pääsivulta löytyy yleisempää tieto...) |
|||
Rivi 7: | Rivi 7: | ||
Intermediate CA:n sulkulista on voimassa vuoden verran. | Intermediate CA:n sulkulista on voimassa vuoden verran. | ||
− | Eli alla olevissa esimerkeissä näkyy että G1 henkilökorttien '''This Update''' sulkulista on luotu vähän ennen tasatuntia ja G2 henkilökorttien lista vuorostaan pari minuuttia tasatunnin jälkeen. | + | Eli alla olevissa esimerkeissä näkyy että G1 henkilökorttien '''This Update''' sulkulista on luotu vähän ennen tasatuntia ja G2 henkilökorttien lista vuorostaan pari minuuttia tasatunnin jälkeen. Digivirastolla tuntuu kestävän noin 10 minuuttia ennen kuin juuri luodut sulkulistat ilmestyvät heidän ulkoiselle palvelimelle ja vasta sen jälkeen niitä aletaan käyttämään '''OCSP''' vastauksissa. |
=== G1: VRK Gov. Root CA === | === G1: VRK Gov. Root CA === |
Nykyinen versio 17. maaliskuuta 2021 kello 19.32
Online Certificate Status Protocol (OCSP) on varmenteen tilan kyselyyn tarkoitettu yhteyskäytäntö. OCSP:n pääsivulta löytyy yleisempää tietoa siitä.
Digiviraston tarjoamat OCSP palvelut
Riipuen henkilökortin generaatiosta varmenteessa on OCSP asetukset joko kokonaan mukana tai vain osittain mukana. Itse sulkulistan päivitys henkilökorteile tapahtuu ilmeisesti reaaliajassa ja jos päivityksiä ei tule niin joka tapauksessa sulkulistat luodaan uudestaan kerran tunnissa ja sulkulistatieto on voimassa kahdeksan tuntia, vaikka siis uusi tuleekin jo vähintään tunnin päästä.
Intermediate CA:n sulkulista on voimassa vuoden verran.
Eli alla olevissa esimerkeissä näkyy että G1 henkilökorttien This Update sulkulista on luotu vähän ennen tasatuntia ja G2 henkilökorttien lista vuorostaan pari minuuttia tasatunnin jälkeen. Digivirastolla tuntuu kestävän noin 10 minuuttia ennen kuin juuri luodut sulkulistat ilmestyvät heidän ulkoiselle palvelimelle ja vasta sen jälkeen niitä aletaan käyttämään OCSP vastauksissa.
G1: VRK Gov. Root CA
Intermediate CA:ssa ei ole OCSP tietoja, joten järjestelmät eivät voi tarkistaa sitä automaattisesti. Tarkistuksen voi kuitenkin tehdä http://ocsp.fineid.fi/vrkrootc urlista.
openssl ocsp -CApath certs -issuer certs/vrkrootc.pem -cert certs/vrkcqc2.pem -url http://ocsp.fineid.fi/vrkrootc Response verify OK certs/vrkcqc2.pem: good This Update: Dec 4 07:32:45 2020 GMT Next Update: Dec 4 07:32:45 2021 GMT
Itse henkilövarmenteessa on OCSP tiedot mukana:
openssl x509 -in certs/cert1.pem -text -noout Certificate: ... Authority Information Access: CA Issuers - URI:http://proxy.fineid.fi/ca/vrkcqc2.crt OCSP - URI:http://ocsp.fineid.fi/vrkcqc2 ...
jolloin tarkistuksen voi tehdä esim seuraavasti:
openssl ocsp -CApath certs -issuer certs/vrkcqc2.pem -cert certs/cert1.pem -url http://ocsp.fineid.fi/vrkcqc2 Response verify OK certs/cert1.pem: good This Update: Mar 17 17:58:59 2021 GMT Next Update: Mar 18 01:58:59 2021 GMT
G2: VRK Gov. Root CA - G2
Sekä henkilövarmenteessa että Intermediate CA:ssa on OCSP tiedot mukana.
openssl x509 -in certs/vrkcqc3.pem -text -noout Certificate: ... Authority Information Access: OCSP - URI:http://ocsp.fineid.fi/vrkroot2c CA Issuers - URI:http://proxy.fineid.fi/ca/vrkroot2c.crt ...
Eli tarkistus tapahtuu esim seuraavasti:
openssl ocsp -CApath certs -issuer certs/vrkroot2c.pem -cert certs/vrkcqc3.pem -url http://ocsp.fineid.fi/vrkroot2c Response verify OK certs/vrkcqc3.pem: good This Update: Jun 15 07:44:17 2020 GMT Next Update: Jun 15 07:44:17 2021 GMT
Ja vastaavasti henkilövarmenteelle:
openssl x509 -in certs/cert3.pem -text -noout Certificate: ... Authority Information Access: CA Issuers - URI:http://proxy.fineid.fi/ca/vrkcqc3.crt OCSP - URI:http://ocsp.fineid.fi/vrkcqc3 ...
Ja tarkistus tapahtuu esim seuraavasti:
openssl ocsp -CApath certs -issuer certs/vrkcqc3.pem -cert certs/cert3.pem -url http://ocsp.fineid.fi/vrkcqc3 Response verify OK certs/cert3.pem: good This Update: Mar 17 18:01:32 2021 GMT Next Update: Mar 18 02:01:32 2021 GMT