MoinQ:

1. OCSP

Online Certificate Status Protocol RFC2560

/checker /Firefox /community

証明書のRevokeを確認するための仕組み

サーバー証明書にも出現する

/openssl /openssl/see-mew.jp

https://rms.ne.jp/sslserver/basis/enabling-ocsp-stapling/

ブラウザなどのクライアントは、検証したい証明書の情報を認証局のOCSPレスポンダーに問合せ、
レスポンダーからの回答を受信します。
OCSPレスポンダーとは、各認証局が独自でOCSP専用に用意したサーバーです。 

OCSP(Online Certificate Status Protocol)は、ブラウザなどのクライアントが、
認証局が提供するOCSPサーバーに対して証明書のシリアル番号を問合せ、
OCSPサーバーが証明書のステイタスを返すという仕組みです。

1.1. stapling

SSLサーバ証明書を利用するサーバーが、認証局が提供するOCSPサーバーの情報をキャッシュして、
証明書とともにブラウザなどのクライアントに提供する方法をOCSP Staplingと呼びます。

OCSP Staplingの利用方法は、以下のページを参照してください。

なんだか、泥棒が偽証明書を見せているような印象だが、どこか違っているのか。

1.2. nginx

以下の手順でNginxでのOCSP staplingの設定ができます。 https://rms.ne.jp/sslserver/install/nginx-enable-ocsp-stapling-on-server-html/

1.3. CRL

証明書の失効:CRL(Certificate Revocation Lists) とOCSP https://rms.ne.jp/sslserver/basis/revoked_ssl_certificates_ocsp_crl/

CRLの入手方法

/chrome


CategoryDns CategoryWatch CategoryTemplate

MoinQ: OCSP (last edited 2022-02-06 08:45:05 by ToshinoriMaeno)