OCSP StaplingでOCSP情報をサーバー上にキャッシュし、サーバー証明書情報と共にブラウザに提供することができます。
オンライン証明書状態プロトコル:OCSP (Online Certificate Status Protocol) は、CRLプロトコルに代わりSSLサーバ証明書の失効をチェックする、現在主流のプロトコルです。
CRLもOCSPも証明書が失効していないかどうかを確認するために使用されます。
CRLプロトコルでは、証明書の発行数の増加とともに潜在的にサイズが増加する「SSL証明書の失効情報ファイル」をダウンロードします。このファイルには、認証局ごとのすべての失効証明書のシリアル番号と失効日が記載されています。
CRLプロトコルの問題点は、証明書が失効していないことを確認するのに時間がかかり、結果的にSSLネゴシエーション完了が遅くなるということです。
一方、OCSPプロトコルは、ファイルをダウンロードしたり、ダウンロードしたファイルの検証をしたりする必要はありません。
ブラウザなどのクライアントは、検証したい証明書の情報を認証局のOCSPレスポンダーに問合せ、レスポンダーからの回答を受信します。
OCSPレスポンダーとは、各認証局が独自でOCSP専用に用意したサーバーです。
OCSP Staplingとは、WebサーバーなどのSSLサーバ証明書を提示するサーバーが認証局のOCSPレスポンダーに問合せを行い、そのキャッシュされた結果を、証明書とともにブラウザなどのクライアントに提示するという仕組みです。
このキャッシュされた結果は、サーバーとクライアントのTLS/SSLハンドシェイクの過程でCertificate Status Requestとして利用されます。
そのため、ブラウザなどのクライアントは独立したプロセスのOCSPレスポンダーへの問合せが不要になり、より短時間で証明書のステイタス確認を完了できます。
OCSP Staplingを利用しない場合は、認証局はSSLサーバ証明書の利用クライアントと直接通信することになり、事実上クライアント情報の取得が可能になるため、「プライバシー上問題あり」との考え方もあります。OCSP Staplingはこの懸念を払しょくします。
・SSLサーバー証明書
・コードサイニング
その他証明書
・バウチャ(クーポン)
