«Хотя протокол обмена ключами в Интернете версии 2 (IKEv2) поддерживает аутентификацию на основе открытого ключа @, соответствующее использование внутриполосных списков отзыва сертификатов (CRL) проблематично из-за неограниченного размера CRL. Размер протокола статуса онлайн-сертификата (OCSP) Однако ответ имеет четкие границы и небольшой размер. Этот документ определяет расширение «Содержимое OCSP» для IKEv2. Полезная нагрузка CERTREQ с «Содержимым OCSP» идентифицирует ноль или более доверенных ответчиков OCSP и представляет собой запрос на включение ответа OCSP. в рукопожатии IKEv2. Совместный получатель такого запроса отвечает с помощью полезных данных CERT, содержащих соответствующий ответ OCSP. Этот контент распознается по тому же идентификатору «Содержимое OCSP». Когда сертификаты используются с IKEv2@, взаимодействующим узлам необходим механизм для определения статуса отзыва сертификата узла. OCSP является одним из таких механизмов. Этот документ применяется, когда требуется OCSP, а политика безопасности не позволяет одному из узлов IKEv2 напрямую обращаться к соответствующему ответчику OCSP. Брандмауэры часто развертываются таким образом, чтобы предотвратить такой доступ со стороны узлов IKEv2 за пределами корпоративной сети».
RFC 4806-2007 История
2007RFC 4806-2007 Расширения протокола статуса онлайн-сертификата (OCSP) для IKEv2