Endringer i CRL- og OCSP-tjeneste fra 17. mars 2021

Owned by Sissel Hoel
Last updated: Mar 04, 2021
2 min read

Buypass gjør noen mindre endringer i sertifikatstatustjenestene CRL og OCSP fra 17. mars 2021. Tjenestene er oppdatert i vårt Test4 miljø.

 

CRL

Endringen i våre CRL-tjenester er først og fremst en intern omlegging som ikke bør påvirke brukerne av tjenesten.

Vi endrer tidspunktet for generering av online CRL-er fra 07:30 og 19:30 til 06:00 og 18:00. Tidspunkt for generering av offline CRL-er (dvs RotCA CRL-er) blir ikke endret, men CRL-en returneres også via ny tjeneste.

Vi gjør også noen endringer i headerinformasjon i http;

  • ETag settes lik CRL-number

  • Caching av CRL-er blir muliggjort ved innføring av max-age som settes til neste halve time

CRL-ene kan også hentes ut via LDAP og disse hentes fra samme kilde som den nye CRL-tjenesten.

 

 

 

OCSP

Endringene gjelder først og fremst vår håndtering av OCSP-forespørsler med feil og OCSP-forespørsler som treffer OCSP-respondere som ikke lenger er i aktive. Disse endringene skal sikre at tjenesten er bedre tilpasset gjeldende standarder (RFC6960).

Feil i OCSP-forespørsler

Dersom OCSP-forespørselen inneholder feil, for eksempel ved at den CA-en som er angitt i Issuer-attributtene i requesten (issuerNameHash/issuerKeyHash) ikke representerer en aktiv CA hos Buypass, vil vi nå returnere HTTP-statuskode=400 (user error) og ocspResponseStatus=unauthorised (6).

Dersom feilen er at sertifikatserienummeret i forespørselen ikke er utstedt under den CA-en som er angitt i Issuer-attributtene (som matcher en CA hos Buypass), vil vi returnere HTTP-statuskode=200 (OK), ocspResponseStatus=succesful (0) og CertStatus = unknown (i stedet for good eller revoked).

Se RFC6960 for mer detaljer.

OCSP-forespørsler som treffer inaktiv OCSP-responder

Dersom OCSP-forespørselen treffer en OCSP-responder som ikke lenger er aktiv, så vil vi returnere HTTP-statuskode=500 (system error).

Dette gjelder spesielt OCSP-forespørsler på sertifikater utstedt under to av våre avviklede CA-er:

  • Buypass Class 2 CA 1 og

  • Buypass Class 3 CA 1

Begge disse CA-ene ble avviklet i 2016, men vi har returnert OCSP-responser for begge med bruk av delegerte OCSP-respondere frem til nå. Alle OCSP-respondere som har svart på vegne av disse to CA-ene blir nå satt ikke-aktive og vil  dermed returnere http response=500.

Dette gjelder følgende respondere:

  • BPClass2 - brukt av de tidligste sertifikatene utstedt under Buypass Class 2 CA 1 (før 22. november 2011)

  • BPClass2CA1 - brukt i de senere sertifikatene utstedt under Buypass Class 2 CA 1

  • BPClass23 - brukt av de tidligste sertifikatene utstedt under Buypass Class 3 CA 1 (før 22. november 2011)

  • BPClass3CA1 - brukt i de senere sertifikatene utstedt under Buypass Class 3 CA 1

I tillegg vil følgende delegerte OCSP-respondere ikke lenger svare på forespørsler om sertifikater utstedt under disse to CA-ene:

  • BPClass3

  • BPOcsp

Generisk OCSP-responder for Class 3

Vi har benyttet en generisk OCSP-responder for person- og virksomhetssertifikater utstedt under Buypass Class 3 CA 1 og Buypass Class 3 CA 3 som også vil bli berørt.

Denne responderen vil ikke lenger svare på forespørsler om sertifikater utstedt under Buypass Class 3 CA 1 fra 17. mars 2021 og heller ikke på forespørsler om sertifikater utstedt under Buypass Class 3 CA 3 fra 15. september 2021.

Hvem er berørt av endringene

I utgangspunktet er det kun OCSP-forespørsler som gjelder sertifikater utstedt under Buypass Class 2 CA 1 og Buypass Class 3 CA 1 som er berørt av endringene. Av disse to CA-ene er det klart flest sertifikater utstedt av Buypass Class 3 CA 1 og som derfor trenger mest oppmerksomhet. 

Alle OCSP-forespørsler som gjelder sertifikater utstedt under våre andre aktive CA-er skal ikke være berørt av denne endringen, med mindre det er feil i OCSP-forespørselen.