Implementar um atendente delegado de OCSP

Este documento fornece informações sobre o OCSP (protocolo de status de certificado on-line) que pode ser usado para verificar o status de revogação de certificados emitidos usando Certificate Authority Service. Para mais informações sobre a ferramenta, consulte Resposta OCSP para serviço de AC.

O que é o Protocolo de status de certificado on-line (OCSP)?

O OCSP é um protocolo para gerar o status de revogação de um certificado X.509. Quando um usuário solicita informações sobre a validade de um certificado, uma solicitação é enviada para um respondente do OCSP. O OCSP Responder verifica o status do certificado com uma autoridade certificadora (AC) confiável e envia uma resposta OCSP.

Por que usar um atendente delegado de OCSP?

O rastreamento do status de revogação de certificados usando o OCSP pode ter muitos benefícios. Isso inclui tempo de resposta mais rápido e menor requisito de largura de banda de rede, em comparação com listas de revogação de certificados (CRLs), que podem ficar bastante grandes.

Como funciona o OCSP Responder?

O respondente do OCSP gera uma resposta OCSP para cada certificado emitido por uma AC específica. As respostas pré-geradas são salvas como arquivos individuais em um bucket do Cloud Storage.

É possível implantar um serviço do Cloud Run que regenera esses arquivos sob demanda ou em uma programação. O serviço do Cloud Run é basicamente o front-end do servidor OCSP.

Você pode usar o Cloud CDN para encaminhar solicitações ao Cloud Run e armazenar em cache as respostas OCSP. Para mais informações, consulte Como configurar o Cloud CDN com o Cloud Run.

Para instruções sobre como configurar um respondente OCSP com o serviço de AC, consulte o README: OCSP responder for CA Service.