CertHash es un método para calificar una respuesta OCSP positiva mediante la inclusión de un hash seguro del certificado. Esto supone una mayor protección del protocolo contra manipulaciones, ya que la respuesta predeterminada se firma únicamente con el número de serie del certificado, lo que deja otros campos expuestos a posibles abusos. Incluir un hash basado en todos los valores relevantes del certificado aumenta la seguridad del cliente.

El algoritmo hash utilizado en esta extensión es SHA256.

CertHash se define en el perfil SigG de PKI común alemán (OCSP en la Parte 9).

A continuación, se explica cómo configurar el manejo de extensiones CertHash mediante el respondedor OCSP externo. Para más información, consulte Respondedores OCSP externos .

Configuración de la extensión OCSP de CertHash

A continuación se describe cómo configurar la extensión CertHash OCSP en el servidor OCSP/VA.

Configuración de la extensión CertHash

El respondedor OCSP incluye una extensión para incluir valores CertHash en las respuestas.

Para habilitar la extensión CertHash, configure las opciones en OcspKeyBinding del OCSP Responder:

Seleccione CA UI → Vinculaciones de teclas internas → OcspKeyBindings y elija la vinculación de teclas que desea editar.
En Extensiones OCSP , seleccione Hash de certificado .
Haga clic en Agregar y luego en Guardar .

imágenes/descargar/archivos adjuntos/143744111/certHash.png