Contents
OCSP Let's Encrypt はstaplingに配慮したか。
https://twitter.com/iWebzConnect/status/1485673987619581952?s=20&t=BgBmAiPTl14tC5VNJJlrow
twitterで教わった機能:
https://twitter.com/trrk_trr/status/1488150109619900420?s=20&t=FqfDLQc5DPXtlDhq8P5_zw
https://rms.ne.jp/sslserver/basis/enabling-ocsp-stapling/
OCSP StaplingでOCSP情報をサーバー上にキャッシュし、サーバー証明書情報と共にブラウザに提供することができます。 オンライン証明書状態プロトコル:OCSPとは
CRLプロトコルでは、証明書の発行数の増加とともに潜在的にサイズが増加する「SSL証明書の失効情報ファイル」をダウンロードします。このファイルには、認証局ごとのすべての失効証明書のシリアル番号と失効日が記載されています。 CRLプロトコルの問題点は、証明書が失効していないことを確認するのに時間がかかり、結果的にSSLネゴシエーション完了が遅くなるということです。 一方、OCSPプロトコルは、ファイルをダウンロードしたり、ダウンロードしたファイルの検証をしたりする必要はありません。 ブラウザなどのクライアントは、検証したい証明書の情報を認証局のOCSPレスポンダーに問合せ、レスポンダーからの回答を受信します。 OCSPレスポンダーとは、各認証局が独自でOCSP専用に用意したサーバーです。
1. OCSP Staplingとは
OCSP Staplingとは、WebサーバーなどのSSLサーバ証明書を提示するサーバーが認証局のOCSPレスポンダーに問合せを行い、そのキャッシュされた結果を、証明書とともにブラウザなどのクライアントに提示するという仕組みです。 このキャッシュされた結果は、サーバーとクライアントのTLS/SSLハンドシェイクの過程でCertificate Status Requestとして利用されます。 そのため、ブラウザなどのクライアントは独立したプロセスのOCSPレスポンダーへの問合せが不要になり、より短時間で証明書のステイタス確認を完了できます。 OCSP Staplingを利用しない場合は、認証局はSSLサーバ証明書の利用クライアントと直接通信することになり、事実上クライアント情報の取得が可能になるため、「プライバシー上問題あり」との考え方もあります。OCSP Staplingはこの懸念を払しょくします。
Overcoming the limitations of OCSP
By Taejoong Chung on 11 Jan 2019
https://blog.apnic.net/2019/01/11/overcoming-the-limitations-of-ocsp/