附錄A（資料性附錄） HTTP上的OCSP

本附錄描述了支持HTTP的OCSP請求格式和OCSP響應格式。

A．1 請求

基于HTTP的OCSP請求可以使用GET或POST方法來提交。為了使得HTTP緩存生效，較小的請求（經過編碼后小于255字節）可以用GET方法來提交。如果HTTP緩存不是很重要，或者請求大于或等于255字節，那么請求應該用POST方法來提交。在保密性是一個重要需求的時候，基于HTTP的OCSP會話可以用TLS/SSL或其它底層的協議來保障其安全性。

一個使用GET方法的OCSP請求按如下方式進行構造：

GET {url}/{url-encoding of base-64 encoding of the DER encoding of the OCSPRequest}

其中 {url}可以從AuthorityInfoAccess的值或者OCSP客戶端的本地配置獲得。

一個使用POST方法的OCSP請求按如下方式進行構造：

Content-Type頭具有值：“application/ocsp-request”，而消息體是OCSPRequest的DER編碼的二進制值。

本標準建議，實施者只使用POST方法，使用POST方法還可避免HTTP緩存機制帶來的麻煩。客戶端必須對請求進行簽名。

A．2 響應

一個基于HTTP的OCSP響應由以下方式定義：

Content-Type頭具有值：“application/ocsp-response”，Content-Length頭應該指定響應的長度，而消息體是OCSPResponse的DER編碼的二進制值。其它的不能被客戶端識別的HTTP頭可能存在于響應中，可以被忽略。

00001注： 因業務需求，可能有甲網用戶訪問乙網用戶的OCSP服務的情況，可將有關交叉認證的協議融入其中。為了方便實現，訪問者證書中應有其簽發者的KeyID，這樣在響應器中的CA信任鏈中能更準確的找到驗證它的上級證書。