Online Certificate Status Protocol
Online Certificate Status Protocol(OCSP)は、X.509
CRL との比較
[- OCSP
応答 は典型 的 なCRLよりも情報 が少 ないため、OCSPは証明 書 の失効 状態 をよりタイムリーに提供 できる。しかし、クライアントが応答 をキャッシュしないと、要求 回数 の増大 によって利点 が生 かせなくなる可能 性 がある。 - OCSPを
使 えば、クライアントがCRLを構文 解析 する必要 がなくなり、クライアント側 の複雑 さが低減 される。しかし、これもキャッシュを保持 する必要 性 によって相殺 される。実際 には、X.509関連 の機能 をアプリケーションが独自 に実装 することは滅多 になく、サードパーティ製 ライブラリを使 うため、このような考慮 はあまり意味 がない。 - CRL はクレジットカード
会社 の「悪質 顧客 リスト」のようなものと考 えられるかもしれない。つまり、知 らせる必要 のない情報 まで公開 しているとも考 えられる。 - OCSPは
特定 のネットワークホストが特定 の時間 に特定 の証明 書 を使 っただろうことをレスポンダに明 らかにする。OCSPは暗号 化 を強制 していないので、この情報 は第三者 に横取 りされるかもしれない。
基本 的 なPKI実装
[- アリスとボブは、
認証 局 (CA) であるイバンの発行 した公開 鍵 証明 書 を持 っている。 - アリスはボブと
取引 したいので、彼 に自身 の公開 鍵 証明 書 を送 る。 - ボブはアリスの
秘密 鍵 が失効 していないかを確認 するため、アリスの公開 鍵 のメッセージダイジェストを含 むOCSP要求 を作成 し、イバンに送 る。 - OCSPレスポンダであるイバンはアリスの
証明 書 の失効 状態 をCAデータベースで参照 する。アリスの秘密 鍵 が失効 しているかどうかについて信頼 できる記録 があるのは、CAデータベースだけである。 - イバンはアリスの
証明 書 の有効 性 を確認 すると、デジタル署名 付 きのOCSP応答 をボブに返 す。 - ボブは
応答 の署名 を検証 し(ボブはイバンの公開 鍵 を持 っており、イバンは信頼 できるレスポンダである)、それが最新 のものであることを確認 する。 - ボブはアリスとの
取引 を実行 する。
プロトコルの詳細
[OCSPレスポンダは
OCSP
OCSPは
しかし、
- トラフィックを
監視 して、その後 にそのトラフィックに応答 する。 証明 書 の状態 を監視 して、それが変更 されたことを確認 する。応答 の妥当 な時間 内 に証明 書 の状態 を要求 するトランザクションを実施 する。
OCSPは
OCSPレスポンダは、Delegated Path Validation (DPV) サーバから
ブラウザでのサポート状 況
[- Internet Explorer は、Windows Vista(XPではない)
上 のInternet Explorer 7で OCSP チェックのサポートを開始 した。 - Firefox は
全 バージョンで OCSP チェックをサポートしている。Firefox 3 では既定 でチェックが有効 となる。 - Mac OS X
上 の Safari は OCSP チェックをサポートしている。 - Opera の
最新 [いつ?]版 は OCSP チェックをサポートしている。 - Google Chrome は
待 ち時間 やプライバシーの問題 を理由 に、2012年 に OCSP チェックをデフォルトでは無効 にした[1][2]。ただし、OCSP staplingは引 き続 き有効 である[3]。
脚注
[- ^ https://www.imperialviolet.org/2012/02/05/crlsets.html
- ^ “Google Chrome、SSL
証明 書 のオンライン失効 チェックを無効 に”. ITmedia (2012年 2月 9日 ). 2020年 12月4日 閲覧 。 - ^ “Issue 361230: SSL Certificate Revocation not enabled by default” (
英語 ) (2014年 4月 11日 ). 2020年 12月4日 閲覧 。 “If you mean OCSP stapling, then Chrome always enables OCSP stapling on platforms that support it. (Windows, Linux, ChromeOS)”