## page was copied from DnsTemplate
##master-page:HelpTemplate

= OCSP =
Online Certificate Status Protocol  RFC2560 
  https://www.ipa.go.jp/security/rfc/RFC2560JA.html  (日本語)

<<Navigation(children,1)>>

<<TableOfContents()>>

[[/checker]]  [[/Firefox]]  [[/community]]

証明書のRevokeを確認するための仕組み
  毎回確認するのではサーバーの負担になるので、キャッシュする仕組みがある。

サーバー証明書にも出現する

[[/openssl]]  [[/openssl/see-mew.jp]]

https://rms.ne.jp/sslserver/basis/enabling-ocsp-stapling/
{{{
ブラウザなどのクライアントは、検証したい証明書の情報を認証局のOCSPレスポンダーに問合せ、
レスポンダーからの回答を受信します。
OCSPレスポンダーとは、各認証局が独自でOCSP専用に用意したサーバーです。 
}}}

{{{
OCSP(Online Certificate Status Protocol)は、ブラウザなどのクライアントが、
認証局が提供するOCSPサーバーに対して証明書のシリアル番号を問合せ、
OCSPサーバーが証明書のステイタスを返すという仕組みです。
}}}

== stapling ==
{{{
SSLサーバ証明書を利用するサーバーが、認証局が提供するOCSPサーバーの情報をキャッシュして、
証明書とともにブラウザなどのクライアントに提供する方法をOCSP Staplingと呼びます。

OCSP Staplingの利用方法は、以下のページを参照してください。
}}}

なんだか、泥棒が偽証明書を見せているような印象だが、どこか違っているのか。
  DNSSEC類似の仕組みか。(偽証明書は造れないことが保証されていればよいか。)

== nginx ==
以下の手順でNginxでのOCSP staplingの設定ができます。
https://rms.ne.jp/sslserver/install/nginx-enable-ocsp-stapling-on-server-html/

== CRL ==
証明書の失効：CRL(Certificate Revocation Lists) とOCSP
https://rms.ne.jp/sslserver/basis/revoked_ssl_certificates_ocsp_crl/


CRLの入手方法

[[/chrome]]

----
CategoryDns CategoryWatch CategoryTemplate