OCSPとは
OCSP は、オンラインでサーバ証明書の有効/失効状態をリアルタイムに確認するプロトコルです。
オーシーエスピーと読みます。直訳するとオンライン証明書状態確認プロトコルです。
OCSPの仕組み
PC (Web ブラウザ) は、Web サイトへアクセスした際、Web サーバから送られてきた証明書が失効状態でないかを OCSP サーバに問い合わせます。
OCSP レスポンダには、証明書の失効リスト (CRL) が保管されており、「CRL に登録されている証明書のシリアル番号」と「Web サーバから送られてきた証明書のシリアル番号」を検証し、署名を付けて結果を Web ブラウザへ返します。
Web ブラウザへ返す検証結果は、以下のいずれかです。
- 有効 (good)
- 失効 (revoked)
- 不明 (unknown)
▼ OCSPの仕組み
「失効」だった場合は、Web ブラウザは、セキュリティ警告メッセージを表示します。
OCSP Stapling について
OCSP には、いくつかの問題がありました。その問題とは、
- OCSP レスポンスが取得できない状態でも、多くの Web ブラウザが検証成功としてしまう。
- クライアントの Web アクセス履歴が OCSP レスポンダに残ってしまう。
上記の問題を解決したのが OCSP Stapling です。
オーシーエスピー・ステープリングと読みます。ステープリングは、一括りにする・ホッチキス止めといった意味があります。
何を一括りにするのかというと、サーバ証明書の状態をクライアントと Web サーバ間のセッション内に入れ込んで一括りにします。
OCSP Stapling では、Web ブラウザから OCSP レスポンダへ問い合わせするのではなく、あらかじめ Web サーバが OCSP レスポンダ と連携し、サーバ証明書の有効・無効情報をキャッシュとして保存しておきます。
これにより、Web ブラウザから OCSP レスポンダへ直接問い合わせすることが不要になり、HTTPS 通信の開始を高速化することができます。
情報処理安全確保支援士試験で出題された
OCSP は、令和2年 情報処理安全確保支援士 午後Ⅰ 問2 設問1 (2) で出題されました。
設問内容
「PC の Web ブラウザでは、HTTPS でアクセスする Web サーバのサーバ証明書が失効していないことを、RFC 6960 で規定されている【 】を利用して確認できる。」
令和2年 情報処理安全確保支援士 午後Ⅰ 問2 設問1 (2)
上記の通り、OCSP は、RFC 6960 で規定されています。
