Lightweight-OCSP nach RFC 5019 und FreeRADIUS

Die OCSP-Responder der DFN-PKI arbeiteten lange Zeit gemäß RFC 2560. Dieser Betriebsmodus hat insbesondere in Hochlast-Umgebungen Nachteile; insbesondere wird ein Caching von OCSP-Antworten deutlich erschwert.

RFC 5019, „The Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environments“, spezifiziert eine OCSP-Variante, die die Caching-Probleme deutlich abmildert.

Seit Mitte Mai wurden die OCSP-Responder der DFN-PKI der Reihe nach auf eine neue Software-Version gebracht, die RFC 5019 verwendet. Damit werden Caching-Header gesetzt und sogenannte Nonces aus eingehenden Anfragen nicht mehr in die OCSP-Antwort kopiert. Viele OCSP-Responder, auch von sehr großen CAs, werden erfolgreich nach RFC 5019 betrieben.

Leider gibt es hierbei einen Nebeneffekt bei FreeRADIUS: Wenn man Nutzerzertifikate zur Authentifizierung verwendet, und zur Validierung der Nutzerzertifikate OCSP aktiviert hat, muss zwingend eine zusätzliche Konfigurationsoption in den OCSP-Abschnitt der eap/tls-Konfiguration gesetzt werden:

ocsp {
   ...
   use_nonce = no
   ...
}

Wird diese Option nicht verwendet, akzeptiert FreeRADIUS das Nutzerzertifikat nicht und schreibt, je nach Loglevel, die folgende Nachricht in das radius.log :

Error: OCSP response has wrong nonce value

(jbr, 05.06.2015)