3. Functional Requirements (機能要件)

3.1. Certificate Content (証明書の内容)

OCSP クライアントに既知の情報アクセスポイントを伝えるために、CA は、OCSP を使用してチェックできる証明書に authority information access extension (認証局情報アクセス拡張) ([RFC5280] セクション 4.2.2.1 で定義) を含める機能を提供しなければならない (SHALL)。あるいは、OCSP プロバイダーの accessLocation を OCSP クライアントでローカルに構成してもよい (MAY)。

OCSP サービス (ローカルでホストされているか、Authorized Responder (認可されたレスポンダ) によって提供されているかに関わらず) をサポートする CA は、AccessDescription SEQUENCE 内の accessMethod に対する Uniform Resource Identifier (URI) [RFC3986] accessLocation の値と OID 値 id-ad-ocsp の包含を提供しなければならない (MUST)。

サブジェクト証明書の accessLocation フィールドの値は、OCSP レスポンダへのアクセスに使用されるトランスポート (HTTP など) を定義し、他のトランスポート依存情報 (URL など) を含む場合がある。

3.2. Signed Response Acceptance Requirements (署名付き応答の受け入れ要件)

特定の証明書の署名付き応答を有効として受け入れる前に、OCSP クライアントは以下を確認しなければならない (SHALL)：

受信した応答で識別された証明書が、対応するリクエストで識別された証明書に対応していること。
応答の署名が有効であること。
署名者の身元が、リクエストの意図された受信者と一致していること。
署名者が現在、問題の証明書に対して応答を提供することを許可されていること。
示されているステータスが正しいことがわかっている時刻 (thisUpdate) が十分に最近であること。
利用可能な場合、証明書のステータスに関するより新しい情報が利用可能になる時刻、またはそれ以前の時刻 (nextUpdate) が現在の時刻よりも大きいこと。