OCSP(オンライン証明書ステータスプロトコル)
OCSP(オンライン証明書ステータスプロトコル) とは何ですか?
OCSP(オンライン証明書ステータスプロトコル)クライアントが CA のレスポンダに対し、特定の X.509 証明書が有効・失効・不明のいずれであるかを HTTP 上でリアルタイムに問い合わせるプロトコル。
OCSP は RFC 6960 で定義され、サイズが大きく更新が遅い CRL に代えてリアルタイム問い合わせを行います。クライアントは証明書の Authority Information Access 拡張に記載された OCSP レスポンダへ、対象証明書のシリアル番号を含む署名付きリクエストを送ります。レスポンダは署名付きステータス(good・revoked・unknown)を返し、依存当事者は署名の検証後にその結果を信頼します。OCSP ステープリングを使うと、TLS サーバーが自分でレスポンスを取得・キャッシュし、ハンドシェイクで提示するため、クライアント側のプライバシーと性能の問題を解決できます。must-staple と組み合わせれば、TLS における失効確認を確実に強制できます。
● 例
- 01
ブラウザがオンラインバンキングサイトの証明書を検証するために OCSP リクエストを送信する。
- 02
OCSP ステープリングを有効化した HTTPS サーバーが、各 TLS ハンドシェイクで最新の署名付きステータスを提供する。
● よくある質問
OCSP(オンライン証明書ステータスプロトコル) とは何ですか?
クライアントが CA のレスポンダに対し、特定の X.509 証明書が有効・失効・不明のいずれであるかを HTTP 上でリアルタイムに問い合わせるプロトコル。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
OCSP(オンライン証明書ステータスプロトコル) とはどういう意味ですか?
クライアントが CA のレスポンダに対し、特定の X.509 証明書が有効・失効・不明のいずれであるかを HTTP 上でリアルタイムに問い合わせるプロトコル。
OCSP(オンライン証明書ステータスプロトコル) からどのように防御しますか?
OCSP(オンライン証明書ステータスプロトコル) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
OCSP(オンライン証明書ステータスプロトコル) の別名は何ですか?
一般的な別名: オンライン証明書ステータスプロトコル, OCSP ステープリング。