<div dir="ltr">Hi,<div><br></div><div>If the OCSP responder does not send the response signer certificate in the OCSP response, then how can we find the signer certificate?</div><div><br></div><div>I was doing a simple test to verify google certificate via OCSP like this:</div><div><br></div><div><div>$ openssl ocsp -issuer ./www.google.com.sg-issuer.cer -CAfile ./ca.cer -cert ./www.google.com.sg.cer -url <a href="http://clients1.google.com/ocsp">http://clients1.google.com/ocsp</a> -header Host <a href="http://clients1.google.com">clients1.google.com</a> -no_nonce</div><div>Response Verify Failure</div><div>2283136:error:27069076:OCSP routines:OCSP_basic_verify:signer certificate not found:ocsp_vfy.c:91:</div><div>./www.google.com.sg.cer: good</div><div>        This Update: Oct 27 14:35:13 2015 GMT</div><div>        Next Update: Nov  3 14:35:13 2015 GMT</div></div><div><br></div><div>Upon checking the wireshark capture, I found the OCSP response does not send signer cert, but only the responderID (byKey).</div><div><br></div><div>In such scenario, where do I find the OCSP response signer cert?</div><div><br></div><div>with regards,</div><div>Saravanan</div><div><br></div></div>