Column | |||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||
IntroduksjonOCSP er en standard protokoll (se RFC6960) for å hente ut revokeringsstatus for et eller flere sertifikater. Den norske SEID-standarden har definert hvordan en fødselsnummeroppslagstjeneste kan integreres i OCSP og Buypass tilbyr en slik tjeneste. OCSP kan brukes for å hente revokeringsstatus for sertifikater generelt og i tillegg kan autoriserte brukersteder benytte tjenesten til å hente fødselsnummer for sertifikatinnehaver for personsertifikater. Et brukersted sender en OCPS-forespørsel (OCSP-request) til OCSP-tjenesten og mottar en signert OCSP-respons. Forespørselen kan inneholde en liste over sertifikater hvor revokeringsstatus skal sjekkes, men det er vanligst å sjekke status på ett sertifikat av gangen. Forespørsler uten fødselsnummeroppslag kan være signert eller usignert, mens for fødselsnummeroppslag må forespørselen være signert med et virksomhetssertifikat utstedt på brukerstedet. OCSP-responsen er alltid signert og kan være signert med CA-ens private nøkkel eller med en dedikert OCSP-signeringsnøkkel (se Authorized Responders). I sistnevnte tilfelle returneres OCSP-signeringssertifikatet sammen med responsen. For å forsikre seg om at tjenesten er autentisk, må brukerstedet verifisere signaturen på OCSP-responsen og eventuelt også signaturen på OCSP-signeringssertifikatet mot den utstedende CA-ens offentlige nøkkel. URL til OCSP-tjenester for personsertifikaterURL til OCSP-tjenesten for det enkelte sertifikat hentes fortrinnsvis fra sertifikatutvidelsen (extension) Authority Information Access i sertifikatet. Følgende URL-er benyttes for Buypass CA-er som utsteder personsertifikater:
Legg merke til at OCSP-tjenesten som standard ikke benytter https, kun http. Det er ikke i hht beste praksis å bruke https siden dette også krever at revokeringsstatus for TLS-sertifikatet som benyttes må sjekkes. Dette kan medføre at tjenesten går inn i en uendelig løkke. OCSP-responsen er alltid signert og dermed integritetssikret og pålitelig. For fødselsnummeroppslag via OCSP er det imidlertid viktig at både forespørsel og respons er kryptert og da skal https benyttes. Vi benytter følgende URL-er/endepunkter for fødselsnummeroppslag via OCSP:
OCSP-endepunkter for personsertifikater med eller uten fødselsnummeroppslagTabellen nedenfor viser en samlet oversikt over alle endepunkter som brukes for OCSP-tjenesten for våre personsertifikater:
Se også Nye CA-er ('generasjon 2') for informasjon om hvilke CA-er som brukes for sertifikater utstedt med hhv SEID v1.0 og SEID v2.0 sertifikatprofiler. Formatering av forespørsel og responsEn OCSP-forespørsel skal i hht RFC6960 inneholde informasjon som unikt skal identifisere et sertifikat. Dette skal være hash av utsteders navn (Issuer DN hentet fra sertifikatet) og hash av utsteders offentlige nøkkel (hentet fra CA-sertifikatet) i tillegg til sertifikatserienummeret. En OCSP-respons kan inneholde en av følgende statuser på sertifikatet:
Dersom sertifikatet er revokert eller suspendert, så inneholder responsen følgende tilleggsinformasjon:
Fødselsnummeroppslag via OCSPFødselsnummeroppslag er integrert i OCSP-tjenesten i henhold til SEID, men tilgang til fødselsnummeroppslagstjenesten krever en skriftlig bekreftelse på at virksomheten etterlever personvern-lovgivningens krav til behandling av personopplysninger. Tilgang til tjenesten krever derfor avtale med Buypass. ForespørselFor å angi at man ønsker fødselsnummer i svaret, legger man inn en FnrRequestExtension i requestExtensions i OCSP-forespørselen: id-reqfnr OBJECT IDENTIFIER ::= { 2.16.578.1.16.3.2 } Verdien av denne extension skal være tom. SvarFødselsnummer som er knyttet til et sertifikat returneres i FnrResponseExtension i singleExtensions i OCSP-responsen. Hvis sertifikatet ikke er et personsertifikat, returneres en vanlig OCSP respons uten FnrResponseExtension. id-respfnr OBJECT IDENTIFIER ::= { 2.16.578.1.16.3.2 } |
Column | ||
---|---|---|
| ||
Column | ||||||
---|---|---|---|---|---|---|
| ||||||
|
Column | ||
---|---|---|
| ||
Section | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|