
<div dir="ltr">I have recently received a Notification Email about the acceptance of the Bug report.<br>It says the Bug is accepted and available under:<br><a href="http://bugs.java.com/bugdatabase/view_bug.do?bug_id=JDK-8274471">http://bugs.java.com/bugdatabase/view_bug.do?bug_id=JDK-8274471</a><div><br></div><div>Hier is also the JIRA Issue for OpenJDK:<br><a href="https://bugs.openjdk.java.net/browse/JDK-8274471">https://bugs.openjdk.java.net/browse/JDK-8274471</a></div><div><br></div><div>Thanks for your interest and fast response.</div><div><br></div><div>Best regards,</div><div>Can<br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Sean Mullan <<a href="mailto:sean.mullan@oracle.com" target="_blank">sean.mullan@oracle.com</a>>, 29 Eyl 2021 Çar, 22:36 tarihinde şunu yazdı:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Thank you for reporting this issue. As far as I can tell, it looks like <br>

the JDK OCSP implementation has not yet been enhanced to support <br>

RSASSA-PSS signatures.<br>

<br>

We will keep an eye out for the bug report you filed but I think it is <br>

still making its way through our system as I have not seen it yet.<br>

<br>

--Sean<br>

<br>

On 9/28/21 11:17 AM, can comert wrote:<br>

> Hello everyone,<br>

> <br>

> I am trying to verify Certificate Revocation Status by using JDK and the <br>

> preferred way is the OCSP request. I came across certificates provided <br>

> by a certain Certificate Authority (Procilion) which I can not verify <br>

> the Revocation Status by using the JDK (I tried with the latest 11 LTS <br>

> and 16). Openssl on the other hand can verify the OCSP responses.<br>

> <br>

> Here is the call for the openssl library:<br>

> openssl ocsp -CAfile ROOT.cer -issuer INTERMEDIATE.cer -cert <br>

> APPLICATION.cer -text -url <a href="http://ocsp.spi-cloud.com/status/" rel="noreferrer" target="_blank">http://ocsp.spi-cloud.com/status/</a> <br>

> <<a href="http://ocsp.spi-cloud.com/status/" rel="noreferrer" target="_blank">http://ocsp.spi-cloud.com/status/</a>><br>

> <br>

> which gives results such as:<br>

> APPLICATION.cer: good<br>

>   This Update: Sep 21 15:31:32 2021 GMT<br>

>   Next Update: Sep 21 16:31:32 2021 GMT<br>

> Response verify OK<br>

> <br>

> With the Wireshark I can also read the OCSP Request and Response and <br>

> Response contains status SUCCESSFUL.<br>

> <br>

> Java runtime throws an exception with message "Parameters required for <br>

> RSASSA-PSS signatures" during trying to verify the signature of the OCSP <br>

> Response.<br>

> <br>

> CA is using a separate certificate with Subject "OCSP Signer" to sign <br>

> the OCSP Response. This certificate is delivered in the OCSP response <br>

> and the signer certificate is signed by the same root as the issuer <br>

> certificate of the certificate under test. Java seems to accept the <br>

> signer certificate but fails to verify the signature.<br>

> Here is the debug output snaps from the Java Program I wrote to test the <br>

> revocation check and executed with flag <br>

> -Djava.security.auth.debug=certpath,ocsp:<br>

> <br>

> start program<br>

> ...<br>

> certpath: KeySizeConstraints.permits(): RSA<br>

> certpath: Responder's certificate includes the extension <br>

> id-pkix-ocsp-nocheck.<br>

> certpath: OCSP response is signed by an Authorized Responder<br>

> ...<br>

> certpath: RevocationChecker.check() java.security.SignatureException: <br>

> Parameters required for RSASSA-PSS signatures<br>

> certpath: RevocationChecker.check() preparing to failover<br>

> ...CRL check also fails due to some other reasons.....<br>

> Parameters required for RSASSA-PSS signatures<br>

> end program<br>

> <br>

> I have also created a Bug Report for the Open JDK with internal review <br>

> id:9071579 since I could not find any related issues on the Bug database.<br>

> <br>

> Root certificate is: procilonGROUPCustomerRootCA02.cer<br>

> Intermediate certificate is: procilonGROUPCustomerCAEDIFACT02.cer<br>

> Both available under <a href="https://pki.spi-cloud.com/issuer" rel="noreferrer" target="_blank">https://pki.spi-cloud.com/issuer</a> <br>

> <<a href="https://pki.spi-cloud.com/issuer" rel="noreferrer" target="_blank">https://pki.spi-cloud.com/issuer</a>> (packed as p7b)<br>

> <br>

> I can provide the example certificates and the Java program which is <br>

> basically calling CertPathValidator.validate method to validate the <br>

> revocation status if you need to reproduce the issue.<br>

> <br>

> Kind Regards,<br>

> Can Cömert<br>

> <br>

</blockquote></div></div></div>