4.1　在線證書狀態協議測試評價指南

4.1.1　總則

4.1.1.1　請求

評價內容：
見GB/T 19713-2005中5.2的內容。
對開發者的要求：
a)開發者應提供文檔，對所使用的在線證書狀態協議進行說明；
b)開發者應提供工具模擬不滿足條件的請求。
測試評價指南：
a)由OCSP請求者發送多個不同狀態證書的狀態請求，檢測OCSP響應器是否提供了正確的證書狀態響應；
b)檢測OCSP請求是否包含以下數據：協議頒布、服務請求、目標證書標識符、其他擴展數據（如：OCSP請求者的簽名、隨機數等）；
c)使用工具發送不正確報文格式的請求，檢測OCSP響應器是否發出錯誤信息；
d)使用工具發送響應器沒有配置所要求服務的請求，檢測OCSP響應器是否發出錯誤信息；
e)使用工具發送不完整信息的請求，檢測OCSP響應器是否發出錯誤信息。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.1.1.2　響應

評價內容：
見GB/T 19713-2005中5.3的內容。
對開發者的要求：
開發者應提供文檔，對響應簽名的密鑰、響應消息格式、響應消息內容等進行說明。
測試評價指南：
a)模擬各種身份的OCSP請求者，發送多個不同狀態證書的狀態請求，OCSP響應請求，檢測此過程中是否對所有明確的響應報文都進行數字簽名；
b)檢測響應簽名的密鑰是否為下列三種情況之一：
1)簽發待查詢證書的CA；
2)可信賴的響應器，即請求者信任該響應器的公鑰；
3)CA指定的響應器；
c)由OCSP請求者發送多個不同狀態證書的狀態請求，檢測OCSP響應器的響應消息中是否包含以下內容：
1)響應語法的版本；
2)響應器的名稱；
3)對請求中每個證書的響應；
4)可選擇的擴展；
5)簽名算法的OID；
6)響應的哈希簽名；
d)檢測對請求中每個證書的響應，是否包含以下內容：
1)目標證書標識符；
2)證書狀態值；
3)響應有效期限；
4)可選的擴展；
e)檢測OCSP響應消息中，證書狀態值是否為以下三種響應標識符：
1)Good，表示對狀態查詢的肯定響應；
2)Revoked（已撤銷），表示證書已被撤銷；
3)Unknown（未知）：表示不能鑒別待驗證狀態的證書。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.1.1.3　異常情況

評價內容：
見GB/T 19713-2005中5.4的內容。
對開發者的要求：
a)開發者應提供文檔，對OCSP響應器返回的錯誤消息進行說明；
b)開發者應提供工具模擬各種異常情況。
測試評價指南：
a)使用工具發送一個沒有遵循OCSP語法的請求，檢測OCSP響應器是否發出相應的錯誤信息；
b)使響應器處于非協調的工作狀態，發送一個正常請求，檢測OCSP響應器是否發出相應的錯誤信息；
c)使響應器處于不能返回所請求證書的狀態，發送一個證書請求，檢測OCSP響應器是否發出相應的錯誤信息；
d)使用工具發送一個沒有簽名的請求，檢測OCSP響應器是否發出相應的錯誤信息；
e)使用工具發送一個未授權的請求，檢測OCSP響應器是否發出相應的錯誤信息。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.1.1.4　thisUpdate、nextUpdate和producedAt的語義

評價內容：
見GB/T 19713-2005中5.5的內容。
對開發者的要求：
開發者應提供文檔，對thisUpdate、nextUpdate和producedAt的語義進行說明。
測試評價指南：
a)發送多個證書請求，檢測OCSP響應消息是否包含以下時間字段：
1)thisUpdate：此次更新時間；
2)nextUpdate（可選字段）：下次更新時間；若沒有設置此字段，需指明隨時可以獲得更新的撤銷信息；
3)producedAt：簽發時間。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.1.1.5　OCSP簽名機構的委托

評價內容：
見GB/T 19713-2005中5.7的內容。
對開發者的要求：
開發者應提供文檔，對所使用的在線證書狀態協議中OCSP簽名機構的委托過程進行說明。
測試評價指南：
a)如果簽署證書狀態信息的密鑰與簽署證書的密鑰不同，由CA向響應器簽發一個含有extendedKeyUsage唯一值的證書；
b)發送一個證書狀態查詢請求，檢測響應器能否用上述證書對證書狀態信息進行簽名。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.1.1.6　密鑰泄露

評價內容：
見GB/T 19713-2005中5.8的內容。
對開發者的要求：
開發者應提供文檔，對CA密鑰泄露時OCSP響應器的設置進行說明。
測試評價指南：
a)在OCSP響應器中，將某一個CA的狀態設置為私鑰泄露；
b)發送一個上述CA簽發的證書狀態查詢請求，檢測OCSP響應器能否返回證書已撤銷的狀態信息。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.1.2　功能要求

4.1.2.1　證書內容

評價內容：
見GB/T 19713-2005中6.1的內容。
對開發者的要求：
開發者應提供文檔，對CA的證書相關內容進行說明。
測試評價指南：
a)檢測CA是否在AccessDescription SEQUENCE中包含URI accessLocation值和對象標識符id-adocsp；
b)檢測OCSP響應器的訪問位置，是否通過以下兩種方式之一給出：
1)在證書擴展項中提供用于OCSP訪問的AuthorityInfoAccess；
2)在OCSP客戶端配置。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.1.2.2　簽名響應的接收要求

評價內容：
見GB/T 19713-2005中6.2的內容。
對開發者的要求：
開發者應提供文檔，對所使用的在線證書狀態協議進行說明。
測試評價指南：
檢測在把OCSP響應視作有效之前，OCSP客戶端是否確認以下內容：
a)響應中所鑒別的證書和請求中的證書一致；
b)響應器的簽名是有效的；
c)響應器的簽名者身份和請求的預定接收者一致；
d)簽名者已被授權對響應進行簽名；
e)指明證書狀態的時間（thisUpdate）為當前最近的時間；
f)如果設置了nextUpdate字段，此時間晚于客戶端當前時間。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.1.3　安全考慮

評價內容：
見GB/T 19713-2005中8安全考慮的內容。
對開發者的要求：
開發者應提供文檔，對所使用的在線證書狀態協議進行脆弱性分析。
測試評價指南：
查看開發者提供的脆弱性分析報告，檢測OCSP系統能否抵御標準中的相關攻擊（至少應該包括拒絕服務攻擊和重放攻擊）。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。