Implementar um atendente delegado de OCSP

Neste documento, você encontra informações sobre a resposta do Online Certificate Status Protocol (OCSP) que pode ser usada para verificar o status de revogação dos certificados emitidos usando o Certificate Authority Service. Para mais informações sobre a ferramenta, consulte Resposta do OCSP para serviço de CA.

O que é o Online Certificate Status Protocol (OCSP)?

OCSP é um protocolo para receber o status de revogação de um certificado X.509. Quando um usuário solicita informações sobre a validade de um certificado, uma solicitação é enviada a um participante do OCSP. O responsável pelo OCSP verifica o status do certificado com uma autoridade de certificação (CA, na sigla em inglês) confiável e envia uma resposta OCSP.

Por que usar uma resposta do OCSP delegada?

Acompanhar o status de revogação do certificado usando o OCSP pode ter muitos benefícios. Isso inclui tempo de resposta mais rápido e menor exigência de largura de banda da rede, em comparação com as Listas de Revogação de Certificados (CRLs), que podem ficar bastante grandes.

Como o participante do OCSP funciona?

A pessoa responsável pelo OCSP gera previamente uma resposta OCSP para cada certificado emitido por uma AC específica. As respostas pré-geradas são salvas como arquivos individuais em um bucket do Cloud Storage.

É possível implantar um serviço do Cloud Run que gera novamente esses arquivos sob demanda ou de acordo com uma programação. O serviço do Cloud Run é essencialmente o front-end do servidor OCSP.

É possível usar o Cloud CDN para encaminhar solicitações ao Cloud Run e armazenar em cache as respostas OCSP. Para mais informações, consulte Como configurar o Cloud CDN com o Cloud Run.

Para instruções sobre como configurar uma resposta de OCSP com o serviço de CA, consulte README: resposta de OCSP para serviço de CA.