OCSPエラーメッセージに署名がないのはなぜですか？

Question

私はOCSPを理解しようとしています。私はほとんどRFC全体を読んでいますが、なぜエラーメッセージが署名されていないのか理解できません。問題は明らかにされているエラーメッセージが署名されていない場合は、MITMは単に、不正internalErrorのようなエラーが発生したクライアントの要求を返信するサービスを拒否することができます[...]

RFCから、私は読むことができます：

を

エラーが発生した場合、OCSPレスポンダはエラーメッセージを返します。 これらのメッセージは署名されていません。

理由を理解していない。 サインで最も安全ではないでしょうか？たぶん私はそこにポイントを見逃しているが、私はそれが本当により安全だと思う。

Answer 1

OCSPクライアントは、証明書失効ステータスの確認に関心があります。ステータスを返すメッセージには、不正なOCSPサーバが偽の応答を返すのを避けるために署名が付けられています（実際のステータスが「取り消された場合」など）。

OCSPサーバが、証明書の失効ステータスが未定義であるというエラーを示す場合。 OCSPクライアントは、そのような証明書を拒否するか、CRLまたは別のOCSPサーバーを介して検証しようとする必要があります。オプションで、OCSPクライアントでこれを設定して、管理者に決定させることができます。同じことは、ステータスが「不明」である署名されたOCSP応答に関連しています。