ICS35030

CCSL.80

中華人民共和國國家標準

GB/T19713—2025

代替GB/T19713—2005

網(wǎng)絡安全技術公鑰基礎設施

在線證書狀態(tài)協(xié)議

Cybersecuritytechnology—Publickeyinfrastructure—

Onlinecertificatestatusprotocol

2025-02-28發(fā)布2025-09-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T19713—2025

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

總則

5………………………2

概述

5.1…………………2

請求

5.2…………………2

響應

5.3…………………2

異常情況

5.4……………3

時間語義

5.5……………4

預產(chǎn)生響應

5.6…………………………4

簽名機構的委托

5.7OCSP……………4

密鑰泄漏

5.8CA…………………………4

功能要求

6…………………4

證書內(nèi)容要求

6.1………………………4

簽名響應的接收要求

6.2………………4

具體語法

7…………………5

約定

7.1…………………5

請求

7.2…………………5

響應

7.3…………………7

擴展

7.4…………………11

附錄規(guī)范性請求和響應的語法規(guī)范

A()OCSPASN.1……………15

附錄規(guī)范性基于的請求和響應

B()HTTPOCSP…………………24

附錄資料性請求和響應語法消息示例

C()OCSPASN.1……………26

附錄資料性安全考慮

D()………………34

參考文獻

……………………36

Ⅰ

GB/T19713—2025

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術安全技術公鑰基礎設施在線證書狀態(tài)協(xié)議與

GB/T19713—2005《》,

相比除結構調(diào)整和編輯性改動外主要技術變化如下

GB/T19713—2005,,:

更改本標準適用于各類基于公開密鑰基礎設施的應用程序和計算環(huán)境為本文件適用于公

a)“”“

鑰基礎設施的建設以及基于在線證書狀態(tài)協(xié)議的安全應用等見第章年版的第章

”(1,20051);

在通則中增加了協(xié)議中各方之間的關系圖見年版的

b)“”O(jiān)CSP(5.1,20055.1);

更改了響應的哈希簽名為響應的數(shù)字簽名見年版的

c)“”“”[5.3b),20055.3f)];

更改了已撤銷狀態(tài)的使用范圍允許對從未簽發(fā)過的證書使用此響應狀態(tài)見

d)revoked(),[5.3

年版的

d),20055.3];

增加了對未簽發(fā)證書狀態(tài)請求的響應要求見

e)[5.3e)];

更改了未授權錯誤響應的使用范圍見年版的

f)unauthorized()(5.4,20055.4);

增加了撤銷時間語義的定義見

g)revocationTime()(5.5);

增加了算法的支持見和

h)SM2、SM3(7.17.2);

增加了語法中

i)OCSPASN.1Signature、Extensions、CertificateSerialNumber、SubjectPublicK-

和結構的定義見

eyInfo、Name、AlgorithmIdentifierCRLReason(7.1);

增加了輕量級請求語法的注解見

j)OCSP(7.2.2);

增加了輕量級協(xié)議對時間的要求見

k)OCSP();

更改了本地配置的簽名權威實體中包含了與待驗證狀態(tài)的證書相匹配的證書為本

l)“OCSP”“

地配置的響應者證書與響應者證書相匹配見年版的

OCSPOCSP”(.2,2005);

增加了輕量級環(huán)境下授權響應者的撤銷狀態(tài)檢查方法見

m)OCSP[.3d)];

增加了基礎響應并闡明了字段對應于響應者簽名證書見

n)“”,ResponderIDOCSP(

);

增加了輕量級響應中對結構的要求見

o)OCSPOCSPResponse[e)];

增加了證書狀態(tài)發(fā)布對響應者獲取證書狀態(tài)應遵循的標準進行了描述見

p)“.4”,OCSP(

.4);

刪除了強制的密碼算法和可選的密碼算法見年版的

q)(20057.4);

更改了的語法并規(guī)定了的長度范圍見年版的

r)NonceASN.1,Nonce(7.4.2,20057.5.1);

更改了條目擴展應遵循的標準見年版的

s)CRL(7.4.6,20057.5.5);

增加了優(yōu)先使用的簽名算法擴展該擴展可包含在請求消息中以指定請求者希望響應者使

t)“”,,

用的簽名算法建議優(yōu)先算法使用見

,SM3WithSM2(7.4.8);

增加了擴展撤銷定義擴展該擴展表明響應者支持對中定義的未簽發(fā)證書的

u)“”,5.3“revoked

已撤銷響應的擴展使用見

()”(7.4.9);

更改了使用的語法的模塊增加支持使用算法見附錄

v)ASN.12008ASN.1,SM2、SM3(A,

年版的附錄增加了輕量級的語法規(guī)范并增加支持使用算

2005B);OCSPASN.1,SM2、SM3

法見附錄

(A);

增加了輕量級請求及響應構造見附錄

w)OCSP(B.2);

更改正文的安全考慮為附錄并補充完善了內(nèi)容見附錄年版的第章

x)“”D,(D,20058)。

Ⅲ

GB/T19713—2025

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國網(wǎng)絡安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位普華誠信信息技術有限公司上海信息安全基礎設施研究中心有限責任公司

:、、

上海市數(shù)字證書認證中心有限公司北京數(shù)字認證股份有限公司鄭州信大捷安信息技術股份有限公

、、

司深圳市電子商務安全證書管理有限公司中電科網(wǎng)絡安全科技股份有限公司河南金盾信安檢測評

、、、

估中心有限公司國家密碼管理局商用密碼檢測中心格爾軟件股份有限公司三六零數(shù)字安全科技集

、、、

團有限公司數(shù)安時代科技股份有限公司華為技術有限公司

、、。

本文件主要起草人梁佐泉顧青田文晉王亞紅馮四風高五星張子鳴付麗麗王志威黃成杭

:、、、、、、、、、、

趙艷紅石韶博陳犖祺趙鷹俠張永強劉為華鄭會濤岳小陽梁宏張紹博鄭強張志磊杜志強

、、、、、、、、、、、、、

曾光

。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2005GB/T19713—2005;

本次為第一次修訂

———。

Ⅳ

GB/T19713—2025

網(wǎng)絡安全技術公鑰基礎設施

在線證書狀態(tài)協(xié)議

1范圍

本文件給出了一種無需請求證書撤銷列表即能查詢數(shù)字證書狀態(tài)的機制即在線證書狀態(tài)

(CRL),

協(xié)議包括在線證書狀態(tài)協(xié)議的協(xié)議內(nèi)容語法規(guī)范

,、。

本文件適用于公鑰基礎設施的建設以及基于在線證書狀態(tài)協(xié)議的安全應用等

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術編碼規(guī)則第部分基本編碼規(guī)則正則編碼規(guī)則

GB/T16263.1ASN.11:(BER)、

和非典型編碼規(guī)則規(guī)范

(CER)(DER)