OCSP xử lý các chứng chỉ đã xóa như thế nào?

Bộ phản hồi OCSP của Microsoft có xác thực số sê-ri đối với cơ sở dữ liệu CA cũng như trạng thái thu hồi của nó không?

theo mặc định, Microsoft OCSP sẽ báo cáo số sê-ri đó là "Tốt". Bắt đầu với Windows Server 2008 R2, chức năng phản hồi OCSP xác định được thêm vào Microsoft OCSP. Nói tóm lại, CA xuất bản tất cả các số sê-ri của các chứng chỉ đã từng được cấp và OCSP cũng được định cấu hình để xem xét thư mục này. Hành vi mới thực hiện như sau:

• nếu số sê-ri không tồn tại trong thư mục, OCSP sẽ phản hồi bằng KHÔNG XÁC ĐỊNH trạng thái. Điều này có nghĩa là số sê-ri được yêu cầu không bao giờ được cấp bởi CA
• nếu số sê-ri tồn tại trong thư mục, CRL sẽ được kiểm tra
• nếu sê-ri được liệt kê trong CRL, hãy trả lời bằng ĐÃ THU HỒI trạng thái và trả lời với TỐT nếu không thì.

Thêm chi tiết về Microsoft KB: Dịch vụ phản hồi trực tuyến trả lại một TỐT xác định cho tất cả các chứng chỉ không có trong CRL

KB chứa tập lệnh kết xuất tất cả số sê-ri của chứng chỉ đã cấp vào thư mục được định cấu hình. Tuy nhiên, kịch bản có một chút thiếu sót. Nó chỉ xuất các sê-ri tồn tại trong cơ sở dữ liệu CA tại thời điểm thực thi tập lệnh. Cơ sở dữ liệu CA được duy trì và các mục cũ bị xóa để ngăn cơ sở dữ liệu CA phát triển quá mức. Điều này sẽ dẫn đến dương tính giả KHÔNG XÁC ĐỊNH trạng thái trên các chứng chỉ đã bị xóa mặc dù chứng chỉ đã được cấp và tồn tại ở đâu đó ngoài tự nhiên. Tôi muốn giữ mọi thứ đã phát hành bất kể bảo trì CA và phản hồi bằng TỐT ngay cả khi chứng chỉ đã bị xóa khỏi CA. Để giải quyết lỗ hổng này, tôi khuyên bạn nên xóa những dòng này khỏi tập lệnh:

thư mục | cho mỗi {
    xóa mục $_ -force
}

điều này sẽ giữ các số sê-ri không còn tồn tại trên CA giữa các lần chạy tập lệnh.