ネットワークセキュリティ
OCSP(オンライン証明書ステータスプロトコル)
別称: オンライン証明書ステータスプロトコル, OCSP ステープリング
定義
クライアントが CA のレスポンダに対し、特定の X.509 証明書が有効・失効・不明のいずれであるかを HTTP 上でリアルタイムに問い合わせるプロトコル。
OCSP は RFC 6960 で定義され、サイズが大きく更新が遅い CRL に代えてリアルタイム問い合わせを行います。クライアントは証明書の Authority Information Access 拡張に記載された OCSP レスポンダへ、対象証明書のシリアル番号を含む署名付きリクエストを送ります。レスポンダは署名付きステータス(good・revoked・unknown)を返し、依存当事者は署名の検証後にその結果を信頼します。OCSP ステープリングを使うと、TLS サーバーが自分でレスポンスを取得・キャッシュし、ハンドシェイクで提示するため、クライアント側のプライバシーと性能の問題を解決できます。must-staple と組み合わせれば、TLS における失効確認を確実に強制できます。
例
- ブラウザがオンラインバンキングサイトの証明書を検証するために OCSP リクエストを送信する。
- OCSP ステープリングを有効化した HTTPS サーバーが、各 TLS ハンドシェイクで最新の署名付きステータスを提供する。
関連用語
証明書失効リスト(CRL)
CA が定期的に署名・公開する、本来の有効期限前に失効させた証明書の一覧で、依存当事者が失効済み証明書の検出に用いる。
X.509 証明書
信頼された CA の署名によって公開鍵と身元を結びつける、標準化されたデジタル証明書の構造。
認証局(CA)
公開鍵をドメイン名や組織などの検証済みの身元と結びつけ、デジタル証明書を発行・署名する信頼された機関。
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
公開鍵基盤(PKI)
ポリシー・ソフトウェア・ハードウェア・信頼された機関の総体で、身元と公開鍵を結びつけるデジタル証明書を発行・配布・検証・失効させる。
HTTPS
HTTPS — definition coming soon.