JWK-Validator: OCSP-Reponse ohne `id-pkix-ocsp-nocheck`-Erweiterung
Warum?
Der OCSP-Responder der DOI-CA (http://ocsp.doi.telesec.de/ocspr) delegiert für Zertifikate unterhalb von C=DE,O=PKI-1-Verwaltung,OU=DOI,CN=DOI CA 10a die Signatur der OCSP-Reponse an das Zertifikat CN=GRP: DOI OCSP-Signer 10a, OU=TeleSec, O=Service, C=DE. Dieses Zertifikat hat keine id-pkix-ocsp-nocheck-Erweiterung. Die Implementierung des JWK-Validators setzt aber in der Methode OCSPVerifier.delegationCertHasCorrectExtensions voraus, dass die Erweiterung vorhanden ist und lehnt die Antwort von diesem OCSP-Responder daher ab.
Der JWK-Validator soll daher auch OCSP-Reponses ohne die Verwndung der id-pkix-ocsp-nocheck-Erweiterung im delegation certificate unterstützen.
Relevante Links und Bemerkungen
Akzeptanzkriterien
-
Das in BSI-TR-02103, Abschnitt 8.5.5, Punkt 3 beschriebene Verfahren ist implementiert.
Durchführungsplan (von Entwickler:in bei Umsetzungsplanung auszufüllen)
-
... -
... -
... -
Definition of Done wurde geprüft
Edited by Marco Holz