5.3 響應

OCSP響應可以有不同類型，且響應由響應類型和響應實體兩部分組成。本標準只規定了一種所有OCSP請求者和響應器都必須支持的OCSP基本響應類型。

對所有明確的響應報文都應進行數字簽名。用于響應簽名的密鑰必須滿足下列條件之一：

a) 簽發待查詢證書的CA；

b) 可信賴的響應器，即請求者信任該響應器的公鑰；

c) CA指定的響應器(即授權的響應器)，該響應器擁有一個CA直接發布的帶有特殊標記擴展項的證書，該特殊標記擴展項指明該響應器可以為CA發布OCSP響應。

明確的響應消息由如下內容組成：

a) 響應語法的版本；

b) 響應器的名稱；

c) 對請求中每個證書的響應；

d) 可選擇的擴展；

e) 簽名算法的OID；

f) 響應的哈希簽名。

對請求中每個證書的響應由如下內容組成：

a) 目標證書標識符；

b) 證書狀態值；

c) 響應有效期限；

d) 可選的擴展。

本標準對證書狀態值規定了如下明確的響應標識符：

a) good（好）：表示對狀態查詢的肯定響應。如果客戶端沒有使用時間戳服務器和有限期驗證的安全策略，肯定的響應只能說明證書未被撤銷，但并不能說明證書已被發布或產生響應的時間是在證書有效性時間范圍內。響應擴展可用于傳輸響應器作出的關于證書狀態信息的附加聲明，例如發布的肯定聲明、有效性等。

b) revoked（已撤銷）：表示證書已被（永久地或臨時地）撤銷。

c) unknown（未知）：表明響應器不能鑒別待驗證狀態的證書(包括OCSP響應器證書與待驗證狀態的證書不是同一CA簽發的情況)。