Endringer i CRL- og OCSP-tjeneste fra 17. mars 2021
Buypass gjør noen mindre endringer i sertifikatstatustjenestene CRL og OCSP fra 17. mars 2021. Tjenestene er oppdatert i vårt Test4 miljø.
CRL
Endringen i våre CRL-tjenester er først og fremst en intern omlegging som ikke bør påvirke brukerne av tjenesten.
Vi endrer tidspunktet for generering av online CRL-er fra 07:30 og 19:30 til 06:00 og 18:00. Tidspunkt for generering av offline CRL-er (dvs RotCA CRL-er) blir ikke endret, men CRL-en returneres også via ny tjeneste.
Vi gjør også noen endringer i headerinformasjon i http;
ETag settes lik CRL-number
Caching av CRL-er blir muliggjort ved innføring av max-age som settes til neste halve time
CRL-ene kan også hentes ut via LDAP og disse hentes fra samme kilde som den nye CRL-tjenesten.
OCSP
Endringene gjelder først og fremst vår håndtering av OCSP-forespørsler med feil og OCSP-forespørsler som treffer OCSP-respondere som ikke lenger er i aktive. Disse endringene skal sikre at tjenesten er bedre tilpasset gjeldende standarder (RFC6960).
Feil i OCSP-forespørsler
Dersom OCSP-forespørselen inneholder feil, for eksempel ved at den CA-en som er angitt i Issuer-attributtene i requesten (issuerNameHash/issuerKeyHash) ikke representerer en aktiv CA hos Buypass, vil vi nå returnere HTTP-statuskode=400 (user error) og ocspResponseStatus=unauthorised (6).
Dersom feilen er at sertifikatserienummeret i forespørselen ikke er utstedt under den CA-en som er angitt i Issuer-attributtene (som matcher en CA hos Buypass), vil vi returnere HTTP-statuskode=200 (OK), ocspResponseStatus=succesful (0) og CertStatus = unknown (i stedet for good eller revoked).
Se RFC6960 for mer detaljer.
OCSP-forespørsler som treffer inaktiv OCSP-responder
Dersom OCSP-forespørselen treffer en OCSP-responder som ikke lenger er aktiv, så vil vi returnere HTTP-statuskode=500 (system error).
Dette gjelder spesielt OCSP-forespørsler på sertifikater utstedt under to av våre avviklede CA-er:
Buypass Class 2 CA 1 og
Buypass Class 3 CA 1
Begge disse CA-ene ble avviklet i 2016, men vi har returnert OCSP-responser for begge med bruk av delegerte OCSP-respondere frem til nå. Alle OCSP-respondere som har svart på vegne av disse to CA-ene blir nå satt ikke-aktive og vil dermed returnere http response=500.
Dette gjelder følgende respondere:
BPClass2 - brukt av de tidligste sertifikatene utstedt under Buypass Class 2 CA 1 (før 22. november 2011)
BPClass2CA1 - brukt i de senere sertifikatene utstedt under Buypass Class 2 CA 1
BPClass23 - brukt av de tidligste sertifikatene utstedt under Buypass Class 3 CA 1 (før 22. november 2011)
BPClass3CA1 - brukt i de senere sertifikatene utstedt under Buypass Class 3 CA 1
I tillegg vil følgende delegerte OCSP-respondere ikke lenger svare på forespørsler om sertifikater utstedt under disse to CA-ene:
BPClass3
BPOcsp
Generisk OCSP-responder for Class 3
Vi har benyttet en generisk OCSP-responder for person- og virksomhetssertifikater utstedt under Buypass Class 3 CA 1 og Buypass Class 3 CA 3 som også vil bli berørt.
Denne responderen vil ikke lenger svare på forespørsler om sertifikater utstedt under Buypass Class 3 CA 1 fra 17. mars 2021 og heller ikke på forespørsler om sertifikater utstedt under Buypass Class 3 CA 3 fra 15. september 2021.
Hvem er berørt av endringene
I utgangspunktet er det kun OCSP-forespørsler som gjelder sertifikater utstedt under Buypass Class 2 CA 1 og Buypass Class 3 CA 1 som er berørt av endringene. Av disse to CA-ene er det klart flest sertifikater utstedt av Buypass Class 3 CA 1 og som derfor trenger mest oppmerksomhet.
Alle OCSP-forespørsler som gjelder sertifikater utstedt under våre andre aktive CA-er skal ikke være berørt av denne endringen, med mindre det er feil i OCSP-forespørselen.