Seite 1 von 1

Frage zu Klausur SS13 A3 e)

Verfasst: 12. Jul 2014 17:17
von sab
Hallo,

in der Klausur SS13 A3 wird in e) gefragt:
Nehmen sie nun an, das “Retention Interval“ des OCSP Servers beträgt 5 Tage. Ein Client fragt den OCSP Server am 07.02.2014 nach dem Status von Zertifikat D. Wie lautet die Antwort des OCSP Servers. Erläutern Sie wie diese Antwort zustande kommt.
Als Lösungsvorschlag ist angegeben, dass die Antwort des OCSP Servers "good" sei. Könnte sie aber auch "unknown" sein?
In den Folien heißt es zu den Antworten:
Foliensatz 07, PDF-Seite 49 / Folie 51 hat geschrieben: Possible responds (basic version):
  • - Unknown (nothing known about the certificate, e.g. issuer unknown)
    - Revoked (certificate revoked or MAY not exist)
    - Good (no such certificate is within its validity period and is revoked) Caution: Good means that the certificate is not revoked, but it may be expired or even not exist at all.
Da das Zertifikat gelöscht wurde, weil es am 31.12.2013 abgelaufen ist und das retention interval bei 5 Tagen liegt, könnte die Antwort doch auch "unknown" sein, da nichts über das Zertifikat (mehr) bekannt ist. Oder ist die Antwort "good", weil mal irgendetwas über das Zertifikat bekannt war und der Issuer bekannt ist?

Danke schonmal!

Edit: Sorry, habe die Frage doppelt eingestellt. Da ging mir wohl der POST nicht schnell genug.

Re: Frage zu Klausur SS13 A3 e)

Verfasst: 12. Jul 2014 17:49
von mmi1991
Antwort nach bestem Wissen und Gewissen :D

Die Antwort ist Unknown, wenn der Issuer nicht bekannt ist.
Die Antwort ist Revoked, wenn bekannt ist, dass das Zertifikat revoked ist.
Das Retention Interval ist ja 5 Tage. Nach Ablauf von 5 Tagen nach der Revokation wird also die Information, dass das Zertifikat revoziert wurde, gelöscht. Der OCSP-Server hat danach keine Ahnung davon, ob das Zertifikat je existiert hat oder ob nur die Information über die Revokation schon gelöscht wurde. In dem Fall antwortet er "good", wenn er den Issuer kennt und das Zertifikat nicht in seiner Revokationsliste findet.
Du kannst also nach der Seriennummer 1337 des Issuers CA1 fragen und würdest Good bekommen, weil darüber einfach keine Informationen vorliegen.

Die Folien sind da tatsächlich nicht so gut gemacht…

Re: Frage zu Klausur SS13 A3 e)

Verfasst: 12. Jul 2014 19:37
von sab
Danke! Ich habe es auch eben noch im Buch nachgelesen, allerdings ist es dort auch nicht klarer. Aber das was du sagst klingt ganz vernünftig, sollte es nochmal zu so einer Aufgabe kommen, werde ich mich an diese Regel halten ;)