OCSP
Vi gjør en del mindre endringer i OCSP-tjenesten vår den 17. mars 2021.
Endringene gjelder først og fremst vår håndtering av OCSP-forespørsler med feil og OCSP-forespørsler som treffer OCSP-respondere som ikke lenger er i aktive. Disse endringene skal sikre at tjenesten er bedre tilpasset gjeldende standarder (RFC6960).
OCSP-tjenesten i vårt Test4 miljø er allerede oppdatert.
Feil i OCSP-forespørsler
Dersom OCSP-forespørselen inneholder feil, for eksempel ved at den CA-en som er angitt i Issuer-attributtene i requesten (issuerNameHash/issuerKeyHash) ikke representerer en aktiv CA hos Buypass, vil vi nå returnere HTTP-statuskode=400 (user error) og ocspResponseStatus=unauthorised (6).
Dersom feilen er at sertifikatserienummeret i forespørselen ikke er utstedt under den CA-en som er angitt i Issuer-attributtene (som matcher en CA hos Buypass), vil vi returnere HTTP-statuskode=200 (OK), ocspResponseStatus=succesful (0) og CertStatus = unknown (i stedet for good eller revoked).
Se RFC6960 for mer detaljer.
OCSP-forespørsler som treffer inaktiv OCSP-responder
Dersom OCSP-forespørselen treffer en OCSP-responder som ikke lenger er aktiv, så vi vi returnere HTTP-statuskode=500 (system error).
Dette gjelder spesielt OCSP-forespørsler på sertifikater utstedt under to av våre avviklede CA-er:
Buypass Class 2 CA 1 og
Buypass Class 3 CA 1
Begge disse CA-ene ble avviklet i 2016, men vi har returnert OCSP-responser for begge med bruk av delegerte OCSP-respondere frem til nå. Alle OCSP-respondere som har svart på vegne av disse to CA-ene blir nå satt ikke-aktive og vil dermed returnere http response=500.
Dette gjelder følgende respondere:
BPClass2 - brukt av de tidligste sertifikatene utstedt under Buypass Class 2 CA 1 (før 22. november 2011)
BPClass2CA1 - brukt i de senere sertifikatene utstedt under Buypass Class 2 CA 1
BPClass23 - brukt av de tidligste sertifikatene utstedt under Buypass Class 3 CA 1 (før 22. november 2011)
BPClass3CA1 - brukt i de senere sertifikatene utstedt under Buypass Class 3 CA 1
I tillegg vil følgende delegerte OCSP-respondere ikke lenger svare på forespørsler om sertifikater utstedt under disse to CA-ene:
Generisk OCSP-responder for Class 3
Vi har benyttet en generisk OCSP-responder for person- og virksomhetssertifikater utstedt under Buypass Class 3 CA 1 og Buypass Class 3 CA 3 som også vil ble berørt.
Denne responderen vil ikke lenger svare på forespørsler om sertifikater utstedt under Buypass Class 3 CA 1 fra 17.mars og heller ikke på forespørsler om sertifikater utstedt under Buypass Class 3 CA 3 fra 15. september 2021.
Hvem er berørt av endringene
I utgangspunktet er det kun OCSP-forespørsler som gjelder sertifikater utstedt under Buypass Class 2 CA 1 og Buypass Class 3 CA 1 som er berørt av endringene. Av disse to CA-ene er det klart flest sertifikater utstedt av Buypass Class 3 CA 1 og som derfor trenger mest oppmerksomhet.
Alle OCSP-forespørsler som gjelder sertifikater utstedt under våre andre aktive CA-er skal ikke være berørt av denne endringen, med mindre det er feil i OCSP-forespørselen.