Совсем новичок с OpenSSL и SSL/TLS. Есть задача проверять revoke статус сертификата через сабж.
Вопрос — как валидировать OCSP stapling response, который сюда приходит.
Фактически, после того как я подписался на все колбеки, я получаю примерно вот такой ответ:
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = "GeoTrust, Inc.", CN = RapidSSL OCSP-TGV Responder
Produced At: Jan 22 17:48:55 2014 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 834F7C75EAC6542FED58B2BD2B15802865301E0E
Issuer Key Hash: 6B693D6A18424ADD8F026539FD35248678911630
Serial Number: 0FE760
Cert Status: good
This Update: Jan 22 17:48:55 2014 GMT
Next Update: Jan 29 17:48:55 2014 GMT
[...]
Означает ли что мне нужно только смотреть вот на это поле:
Cert Status: good
Или хакер может прилепить вообще левый OCSP response и мне обязательно нужно проверять ещё signature, responder id, ..?
Специфичный к OpenSSL вопрос — превалидирует ли он подпись OCSP stapling response-a?
