OCSPプロトコルとOCSPの仕組みについて

プロモーションを含みます。
プロモーションを含みます。

OCSPとは

OCSP は、オンラインでサーバ証明書の有効/失効状態をリアルタイムに確認するプロトコルです。

Online Certificate Status Protocol の略称

オーシーエスピーと読みます。直訳するとオンライン証明書状態確認プロトコルです。

OCSPの仕組み

PC (Web ブラウザ) は、Web サイトへアクセスした際、Web サーバから送られてきた証明書が失効状態でないかを OCSP サーバに問い合わせます。

問合せする者を OCSP クライアント、問合せに応答する OCSP サーバのことを OCSP レスポンダと呼びます。

OCSP レスポンダには、証明書の失効リスト (CRL) が保管されており、「CRL に登録されている証明書のシリアル番号」と「Web サーバから送られてきた証明書のシリアル番号」を検証し、署名を付けて結果を Web ブラウザへ返します。

Certificate Revocation List
CRL には「失効した証明書のシリアル番号」「失効日時」「失効事由」などが記載されています

Web ブラウザへ返す検証結果は、以下のいずれかです。

  • 有効 (good)
  • 失効 (revoked)
  • 不明 (unknown)

▼ OCSP

「失効」だった場合は、Web ブラウザは、セキュリティ警告メッセージを表示します。

OCSP Stapling について

OCSP には、いくつかの問題がありました。その問題とは、

  • OCSP レスポンスが取得できない状態でも、多くの Web ブラウザが検証成功としてしまう。
  • クライアントの Web アクセス履歴が OCSP レスポンダに残ってしまう。

上記の問題を解決したのが OCSP Stapling です。

オーシーエスピー・ステープリングと読みます。ステープリングは、一括りにするホッチキス止めといった意味があります。

何を一括りにするのかというと、サーバ証明書の状態をクライアントと Web サーバ間のセッション内に入れ込んで一括りにします。

OCSP Stapling では、Web ブラウザから OCSP レスポンダへ問い合わせするのではなく、あらかじめ Web サーバが OCSP レスポンダ と連携し、サーバ証明書の有効・無効情報をキャッシュとして保存しておきます

これにより、Web ブラウザから OCSP レスポンダへ直接問い合わせすることが不要になり、HTTPS 通信の開始を高速化することができます。

情報処理安全確保支援士試験で出題された

OCSP は、令和2年 情報処理安全確保支援士 午後Ⅰ 問2 設問1 (2) で出題されました。

設問内容

「PC の Web ブラウザでは、HTTPS でアクセスする Web サーバのサーバ証明書が失効していないことを、RFC 6960 で規定されている【  】を利用して確認できる。」

令和2年 情報処理安全確保支援士 午後Ⅰ 問2 設問1 (2)

上記の通り、OCSP は、RFC 6960 で規定されています。

この記事を書いた人
TerraYuuki

ITインフラエンジニアのアウトプットブログ。仕事や資格勉強などを通じて得たIT技術やWindows Tips、ガジェットレビュー記事を主に書いています。

written by Terra Yuuki
PR
インターネット
てこエンジニアブログ