Corte de archivo

La extensión de corte de archivo OCSP es una extensión OCSP que puede enviarse en respuestas OCSP. La extensión y su uso se definen en la sección 4.4.4 del RFC 6960 .

Un respondedor de OCSP PUEDE optar por conservar la información de revocación después de la expiración de un certificado. La fecha obtenida al restar este valor del intervalo de retención del tiempo de producción en una respuesta se define como la fecha límite de archivo del certificado.

A modo de ejemplo, si un servidor funciona con una política de intervalo de retención de 7 años y el estado se produjo en el momento t1, entonces el valor de ArchiveCutoff en la respuesta sería (t1 - 7 años).

Las aplicaciones compatibles con OCSP utilizan una fecha límite de archivo de OCSP para demostrar la fiabilidad de una firma digital en la fecha de su generación, incluso si el certificado necesario para validarla ha caducado hace tiempo. Si t1 es la fecha de firma de la respuesta de OCSP, archiveCutoff indica la fecha hasta la cual la información de revocación está disponible. Por ejemplo, con un periodo de retención de 7 años, una respuesta firmada el 13/11/2013 establece ArchiveCutoff en el 13/11/2006, lo que indica que el estado "bueno" de un certificado que caducó antes de esa fecha no es fiable, ya que la base de datos del respondedor de OCSP no está garantizada (aunque podría) incluir información de revocación de dicho certificado.

La extensión de corte de archivo también se utiliza en ETSI EN 319 411-2.

CSS-6.3.10-08 [CONDICIONAL]: Si se proporciona OCSP, el respondedor de OCSP debe usar la extensión ArchiveCutOff como se especifica en IETF RFC 6960 [i.9], con la fecha archiveCutOff establecida en la fecha de "válido desde" del certificado de la CA.

EJBCA puede calcular la fecha límite de archivo basándose en el período de retención y el momento en que se produjo la respuesta OCSP (como se describe en RFC 6960), o basándose en la fecha de "válido desde" del emisor, como se describe en ETSI EN 319 411-2.

Configuración

La extensión de corte de archivo se configura mediante una vinculación de teclas OCSP.

  1. Edite una combinación de teclas OCSP y agregue una extensión Archive Cutoff en la sección Extensiones OCSP seleccionando una extensión en la lista y haciendo clic en Agregar .

    imágenes/descargar/miniaturas/78939153/archiveCutoffAdd.png

  2. Configure la extensión Archive Cutoff agregada en la sección Archive Cutoff de la vinculación de teclas OCSP.

    imágenes/descargar/archivos adjuntos/78939153/archiveCutoff.png

  3. Especifique el período de retención (para derivar la fecha límite de archivo como se describe en RFC 6960 ) o habilite Usar la fecha notBefore del emisor como fecha límite de archivo para cumplir con las regulaciones ETSI.

Pruebas manuales

Para confirmar que la extensión de corte de archivo se ha configurado correctamente, utilice el siguiente comando openssl :

openssl ocsp -issuer ManagementCA.cacert.pem -CAfile ManagementCA.cacert.pem -cert cert.pem -req_text -resp_text -url http: //localhost:8080/ejbca/publicweb/status/ocsp

El comando openssl genera una respuesta OCSP como el siguiente ejemplo:

OCSP Response Data:
OCSP Response Status: successful ( 0x0 )
Response Type: Basic OCSP Response
Version: 1 ( 0x0 )
Responder Id: BB689F7058D62AB4B8C13866FAC3CF8FC1986ADA
Produced At: Jan 11 de enero 13 : 02 : 37 2019 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 27CBED5E54A990CCD30F644E3715C75B1DECFDEE
Issuer Key Hash: BB689F7058D62AB4B8C13866FAC3CF8FC1986ADA
Serial Number: 363F7FBC823AEB6F
Cert Status: good
This Update: Jan 11 de enero 13 : 02 : 37 2019 GMT
Response Single Extensions:
OCSP Archive Cutoff:
11 Jan 13 : 02 : 37 2018 GMT
Response Extensions:
OCSP Nonce:
041055845EE5620B834F19419A43467207DA
...

Si habilita el registro de depuración para el servidor de aplicaciones, podrá ver cuándo se agregó la extensión de corte de archivo a la respuesta de OCSP:

01 - 11 - 2019 14 : 23 : 38 , 155 DEBUG [org.cesecore.certificates.ocsp.OcspResponseGeneratorSessionBean] ( task- default 1 ) Added id-pkix-ocsp-archive-cutoff (producedAt - <retention period> = <archive cutoff date>) to OCSP response with cert ID serial number <serial number>.

Si la configuración Utilizar la fecha notBefore del emisor como fecha límite de archivo está habilitada, la línea de registro se verá así:

01 - 11 - 2019 14 : 23 : 38 , 155 DEBUG [org.cesecore.certificates.ocsp.OcspResponseGeneratorSessionBean] ( task- default 1 ) Added ETSI EN 319411 - 2 , CSS- 6.3 . 10 - 10 id-pkix-ocsp-archive-cutoff (issuer notBefore = <archive cutoff date>) to OCSP response with cert ID serial number <serial number>.