3. Functional Requirements (Requisiti funzionali)

3.1. Certificate Content (Contenuto del certificato)

Al fine di trasmettere ai client OCSP un punto di accesso alle informazioni ben noto, le CA DEVONO (SHALL) fornire la capacità di includere l'estensione authority information access (accesso alle informazioni dell'autorità) (definita in [RFC5280], Sezione 4.2.2.1) nei certificati che possono essere controllati utilizzando OCSP. In alternativa, l'accessLocation per il provider OCSP può essere configurata localmente sul client OCSP.

Le CA che supportano un servizio OCSP, ospitato localmente o fornito da un Authorized Responder (Responder Autorizzato), DEVONO (MUST) prevedere l'inclusione di un valore per un Uniform Resource Identifier (URI) [RFC3986] accessLocation e il valore OID id-ad-ocsp per l'accessMethod nella SEQUENCE AccessDescription.

Il valore del campo accessLocation nel certificato del soggetto definisce il trasporto (ad esempio, HTTP) utilizzato per accedere al responder OCSP e può contenere altre informazioni dipendenti dal trasporto (ad esempio, un URL).

3.2. Signed Response Acceptance Requirements (Requisiti per l'accettazione della risposta firmata)

Prima di accettare una risposta firmata per un particolare certificato come valida, i client OCSP DEVONO (SHALL) confermare che:

Il certificato identificato in una risposta ricevuta corrisponde al certificato che è stato identificato nella richiesta corrispondente;
La firma sulla risposta è valida;
L'identità del firmatario corrisponde al destinatario previsto della richiesta;
Il firmatario è attualmente autorizzato a fornire una risposta per il certificato in questione;
L'orario in cui lo stato indicato è noto come corretto (thisUpdate) è sufficientemente recente;
Quando disponibile, l'orario in cui o prima del quale saranno disponibili informazioni più recenti sullo stato del certificato (nextUpdate) è maggiore dell'orario corrente.