> А теперь прикинь, OCSP сервер взял да и умер. Ну, умирают вот
> иногда сервера. Даже самые хорошие, белые и пушистые. И это что,
> мне теперь по этому поводу без доступа в онлайн-банк чтоли остаться
> из-за даунайма ПОСТОРОННЕГО сервера?OCSP сервер не может быть посторонним. Он является структурообразующим PKI, ведущим актуальный список скомпрометированных сертификатов.
Клиентская программа на момент своего выпуска, как правило, уже имеет в своём составе хранилище доверенных сертификатов от тех сайтов, с которыми она должна работать по защищённому соединению. Но время идёт, сайты взламываются, подбираются пароли, узнаются секретные ключи владельцев защищённых сервисов. Когда это обнаруживается, центры сертификации (CA) отзывают сертификаты у взломанных сайтов и размещают списки потерявших валидность сертификатов на серверах OCSP (адреса серверов OCSP указываются в сертификатах, которые подписывает CA — по этим адресам клиентская программа определяет валидность сертификатов).
Клиентская программа, чтобы быть в курсе последних событий по конкретному сертификату, должна сначала обратиться к его серверу OCSP, чтобы проверить его валидность. Если сертификат отозван (заблокирован, нет возможности проверить подлинность и т.д.), то вычеркнуть его из хранилища доверенных сертификатов и не позволить пользователю работать с потерявшим доверие (скомпрометированным) сайтом.
> Мля, тогда банкоматом пользоваться наверное вообще
> не надо - там кардеры могли ридер привинтить в принципе. Поэтому
> надо самому дуть в отделение и получать бабло в кассе и
> никак иначе. К кассиру то ридер не привинтишь :)
Именно! А лучше за новым подписанным CA сертификатом банка, а старый скомпрометированный сертификат уничтожить.
