3. Functional Requirements (Funktionale Anforderungen)

3.1. Certificate Content (Zertifikatsinhalt)

Um OCSP-Clients einen bekannten Informationszugangspunkt zu vermitteln, MÜSSEN (SHALL) CAs die Möglichkeit bieten, die Erweiterung authority information access (Behördeninformationszugriff) (definiert in [RFC5280], Abschnitt 4.2.2.1) in Zertifikate aufzunehmen, die mit OCSP überprüft werden können. Alternativ kann die accessLocation für den OCSP-Anbieter lokal am OCSP-Client konfiguriert werden.

CAs, die einen OCSP-Dienst unterstützen, der entweder lokal gehostet oder von einem Authorized Responder (Autorisierten Responder) bereitgestellt wird, MÜSSEN (MUST) die Aufnahme eines Wertes für einen Uniform Resource Identifier (URI) [RFC3986] accessLocation und den OID-Wert id-ad-ocsp für die accessMethod in der AccessDescription SEQUENCE vorsehen.

Der Wert des Feldes accessLocation im Subjektzertifikat definiert den Transport (z. B. HTTP), der für den Zugriff auf den OCSP-Responder verwendet wird, und kann andere transportabhängige Informationen (z. B. eine URL) enthalten.

3.2. Signed Response Acceptance Requirements (Anforderungen an die Annahme signierter Antworten)

Bevor eine signierte Antwort für ein bestimmtes Zertifikat als gültig akzeptiert wird, MÜSSEN (SHALL) OCSP-Clients bestätigen, dass:

Das in einer empfangenen Antwort identifizierte Zertifikat dem Zertifikat entspricht, das in der entsprechenden Anfrage identifiziert wurde;
Die Signatur auf der Antwort gültig ist;
Die Identität des Unterzeichners mit dem beabsichtigten Empfänger der Anfrage übereinstimmt;
Der Unterzeichner derzeit autorisiert ist, eine Antwort für das fragliche Zertifikat zu geben;
Der Zeitpunkt, zu dem der angezeigte Status als korrekt bekannt ist (thisUpdate), ausreichend aktuell ist;
Wenn verfügbar, der Zeitpunkt, zu dem oder vor dem neuere Informationen über den Status des Zertifikats verfügbar sein werden (nextUpdate), größer ist als die aktuelle Zeit.