045-548-4656

(10:00〜18:00 土日祝日を除く)

SSL・EV SSL サーバー証明書 サポート

OCSP Stapling

OCSP StaplingでOCSP情報をサーバー上にキャッシュし、サーバー証明書情報と共にブラウザに提供することができます。

オンライン証明書状態プロトコル:OCSPとは

オンライン証明書状態プロトコル:OCSP (Online Certificate Status Protocol) は、CRLプロトコルに代わりSSLサーバ証明書の失効をチェックする、現在主流のプロトコルです。
CRLもOCSPも証明書が失効していないかどうかを確認するために使用されます。

CRLプロトコルでは、証明書の発行数の増加とともに潜在的にサイズが増加する「SSL証明書の失効情報ファイル」をダウンロードします。このファイルには、認証局ごとのすべての失効証明書のシリアル番号と失効日が記載されています。
CRLプロトコルの問題点は、証明書が失効していないことを確認するのに時間がかかり、結果的にSSLネゴシエーション完了が遅くなるということです。

一方、OCSPプロトコルは、ファイルをダウンロードしたり、ダウンロードしたファイルの検証をしたりする必要はありません。
ブラウザなどのクライアントは、検証したい証明書の情報を認証局のOCSPレスポンダーに問合せ、レスポンダーからの回答を受信します。
OCSPレスポンダーとは、各認証局が独自でOCSP専用に用意したサーバーです。

OCSPレスポンダーの確認方法は証明書の失効:CRL(Certificate Revocation Lists)とOCSPを参照してください。
マルチドメイン証明書/1年あたり72,800円から
Windowsサーバーにおすすめ 最大25ホスト名まで対応 DigiCert(デジサート) 企業認証SSL/TLS リーズナブルな価格でご提供

OCSP Staplingとは

OCSP Staplingとは、WebサーバーなどのSSLサーバ証明書を提示するサーバーが認証局のOCSPレスポンダーに問合せを行い、そのキャッシュされた結果を、証明書とともにブラウザなどのクライアントに提示するという仕組みです。
このキャッシュされた結果は、サーバーとクライアントのTLS/SSLハンドシェイクの過程でCertificate Status Requestとして利用されます。
そのため、ブラウザなどのクライアントは独立したプロセスのOCSPレスポンダーへの問合せが不要になり、より短時間で証明書のステイタス確認を完了できます。

OCSP Staplingを利用しない場合は、認証局はSSLサーバ証明書の利用クライアントと直接通信することになり、事実上クライアント情報の取得が可能になるため、「プライバシー上問題あり」との考え方もあります。OCSP Staplingはこの懸念を払しょくします。

OCSP Stapling設定方法

EV SSL Plus/1年あたり115,200円から
緑のアドレスバーでサイトの信頼性向上 DigiCert(デジサート) EV SSL/TLS リーズナブルな価格でご提供

Copyright © cybervision Hosting. All rights reserved.