B.3.10. OCSPNocheck
扩展旨在包含在 OCSP 签名证书中。扩展告知一个 OCSP 客户端,在不查询 OCSP 响应者的情况下可以信任签名证书(因为回复会再次由 OCSP 响应程序签名,客户端会再次请求签名证书的有效性状态)。这个扩展是 null-valued,它的含义由其存在或没有决定。
由于证书中存在此扩展会导致 OCSP 客户端信任使用该证书签名的响应,所以应该仔细管理使用此扩展。如果 OCSP 签名密钥被破坏,则 PKI 中验证证书的整个过程会在证书的有效性期间内被破坏。因此,使用 OCSPNocheck 的证书应该有较短的生命周期并经常续订。
OID
1.3.6.1.5.5.7.48.4
严重程度
这个扩展应该非关键。