3. Functional Requirements (Exigences fonctionnelles)
3. Functional Requirements (Exigences fonctionnelles)
3.1. Certificate Content (Contenu du certificat)
Afin de transmettre aux clients OCSP un point d'accès à l'information bien connu, les AC DOIVENT (SHALL) fournir la capacité d'inclure l'extension authority information access (accès aux informations de l'autorité) (définie dans [RFC5280], Section 4.2.2.1) dans les certificats qui peuvent être vérifiés à l'aide d'OCSP. Alternativement, l'accessLocation pour le fournisseur OCSP peut être configurée localement au niveau du client OCSP.
Les AC qui prennent en charge un service OCSP, hébergé localement ou fourni par un Authorized Responder (Répondeur autorisé), DOIVENT (MUST) prévoir l'inclusion d'une valeur pour un Uniform Resource Identifier (URI) [RFC3986] accessLocation et la valeur OID id-ad-ocsp pour l'accessMethod dans la SEQUENCE AccessDescription.
La valeur du champ accessLocation dans le certificat du sujet définit le transport (par exemple, HTTP) utilisé pour accéder au répondeur OCSP et peut contenir d'autres informations dépendantes du transport (par exemple, une URL).
3.2. Signed Response Acceptance Requirements (Exigences d'acceptation de la réponse signée)
Avant d'accepter une réponse signée pour un certificat particulier comme valide, les clients OCSP DOIVENT (SHALL) confirmer que :
-
Le certificat identifié dans une réponse reçue correspond au certificat qui a été identifié dans la demande correspondante ;
-
La signature sur la réponse est valide ;
-
L'identité du signataire correspond au destinataire prévu de la demande ;
-
Le signataire est actuellement autorisé à fournir une réponse pour le certificat en question ;
-
L'heure à laquelle le statut indiqué est connu pour être correct (thisUpdate) est suffisamment récente ;
-
Lorsqu'elle est disponible, l'heure à laquelle ou avant laquelle des informations plus récentes seront disponibles sur le statut du certificat (nextUpdate) est supérieure à l'heure actuelle.