1. OCSP
Online Certificate Status Protocol RFC2560
| /CRL /Firefox /checker /chrome /community /openssl |
証明書のRevokeを確認するための仕組み
- 毎回確認するのではサーバーの負担になるので、キャッシュする仕組みがある。
サーバー証明書にも出現する
https://rms.ne.jp/sslserver/basis/enabling-ocsp-stapling/
ブラウザなどのクライアントは、検証したい証明書の情報を認証局のOCSPレスポンダーに問合せ、 レスポンダーからの回答を受信します。 OCSPレスポンダーとは、各認証局が独自でOCSP専用に用意したサーバーです。
OCSP(Online Certificate Status Protocol)は、ブラウザなどのクライアントが、 認証局が提供するOCSPサーバーに対して証明書のシリアル番号を問合せ、 OCSPサーバーが証明書のステイタスを返すという仕組みです。
1.1. stapling
SSLサーバ証明書を利用するサーバーが、認証局が提供するOCSPサーバーの情報をキャッシュして、 証明書とともにブラウザなどのクライアントに提供する方法をOCSP Staplingと呼びます。 OCSP Staplingの利用方法は、以下のページを参照してください。
なんだか、泥棒が偽証明書を見せているような印象だが、どこか違っているのか。
- DNSSEC類似の仕組みか。(偽証明書は造れないことが保証されていればよいか。)
1.2. nginx
以下の手順でNginxでのOCSP staplingの設定ができます。 https://rms.ne.jp/sslserver/install/nginx-enable-ocsp-stapling-on-server-html/
1.3. CRL
証明書の失効:CRL(Certificate Revocation Lists) とOCSP https://rms.ne.jp/sslserver/basis/revoked_ssl_certificates_ocsp_crl/
CRLの入手方法