是否通过TLS验证OCSP请求？

Question

我想知道到ocsp响应程序/服务器的连接是否是TLS本身。是否意味着请求证书有效性检查的客户端验证OCSPs服务器证书？如果是这样，OCSP服务器应该由根ca签名(客户端可以通过其信任库进行验证)，这样才不会以无限循环结束，对吗？

我认为OCSP验证先于证书链验证。

任何澄清都会很好。

Answer 1

我认为OCSP验证先于证书链验证。

这不是很正确。首先，建立和验证证书链。成功验证后，将执行吊销检查。在撤销检查过程中检查OCSP。根据TLS实现，可以在TLS握手消息中固定OCSP响应，因此客户端不需要查询外部OCSP，签名响应已经存在。

仅检查OCSP证书本身的链有效性。通常，OCSP签名证书不包含任何吊销信息，并且包括一个id-pkix-ocsp-nocheck证书扩展，它指示客户端即使在CDP/AIA扩展中包含了吊销信息，也不能对OCSP签名证书执行吊销检查。