「OCSP」の版間の差分
提供: セキュリティ
(相違点なし)
|
2015年2月14日 (土) 16:57時点における版
OCSP (Online Certificate Status Protocol)とは、証明書を失効しているか、確認するプロトコルです。
読み方
- OCSP
- おーしーえすぴー
- Online Certificate Status Protocol
- おんらいん さーてぃふぃけいと すてーたす ぷろとこる
概要
OCSPは、デジタル証明書の有効性をリアルタイムで確認するためのプロトコルです。
CRL
CRL(Certificate Revocation List)は、証明書廃棄リストです。 CRLを使用するためには、CRLのダウンロードが必要になります。 CRLは定期的に作成されるため、ときどきダウンロードをしなおさないといけません。 最新のCRLを使えるとは限らないため、タイミングによっては、失効されているべき証明書を信用してしまう可能性があります。
CRLとOCSPの違い
| CRL | OCSP | |
|---|---|---|
| ダウンロード | 必要 | 不要 |
| 確認方法 | 事前にダウンロードしたCRLを検索する | オンデマンドで任意のサイトを問い合わせ |
| データの鮮度 | 低 | 高 |
OCSP Stapling
- TLSサーバがOCSPレスポンスを証明書と一緒にクライアントに送信します。
- クライアントは、認証局への問い合わせが省略できるため、ウェブページの表示が高速化できます。