OCSP 오류 메시지에 서명되지 않은 이유는 무엇입니까?

Question

OCSP를 이해하려고합니다. 나는 거의 전체 RFC를 읽었지 만 오류 메시지가 서명되지 않은 이유를 이해하지 못하고 있습니다. 문제는 분명하다 :

: 오류 메시지가 서명되지 않은 경우 MITM 단순히 허가받지 않은,있는 InternalError [...] 내가 읽을 수있는 RFC에서

같은 오류가 클라이언트의 요청에 응답하는 서비스를 거부 할 수 있습니다

오류가 발생하면 OCSP 응답자가 오류 메시지를 반환 할 수 있습니다. 이 메시지는 서명되지 않았습니다.

이유를 알지 못합니다. 로그인이 가장 안전하지 않습니까? 어쩌면 나는 그 지점을 놓치고 있지만, 그것이 정말로 더 안전 할 것이라고 생각한다.

Answer 1

OCSP 클라이언트는 인증서 해지 상태를 확인하는 데 관심이 있습니다. 상태를 반환하는 메시지는 사기성 OCSP 서버가 가짜 응답 (예 : 실제 상태가 "취소됨"인 경우 반환 상태 "양호")을 반환하지 않도록하기 위해 서명됩니다.

OCSP 서버가 인증서의 해지 상태가 정의되지 않은 오류를 나타내는 경우. OCSP 클라이언트는 그러한 인증서를 거부하거나 CRL 또는 다른 OCSP 서버를 통해 인증서를 확인하려고 할 때 고려해야합니다. 필요에 따라 관리자가 결정할 수 있도록 OCSP 클라이언트에서이를 구성 할 수 있습니다. 이는 "알 수 없음"상태를 나타내는 서명 된 OCSP 응답과 관련이 있습니다.