|
Online Certificate Status Protocol(OCSP)は、X.509公開鍵証明書の失効状態を取得するための通信プロトコルである。RFC 6960 で規定されており、インターネット標準トラック上にある。証明書失効リスト (CRL) の代替として策定されたもので、CRLを公開鍵基盤 (PKI) で使う際の問題に対応している。OCSP のメッセージは ASN.1 で符号化されており、主に HTTP を使ってやり取りされる。要求/応答型メッセージであることから、OCSPのサーバを「OCSPレスポンダ」と呼ぶ。 == CRL との比較 == * OCSP応答は典型的なCRLよりも情報が少ないため、OCSPは証明書の失効状態をよりタイムリーに提供できる。しかし、クライアントが応答をキャッシュしないと、要求回数の増大によって利点が生かせなくなる可能性がある。 * OCSPを使えば、クライアントがCRLを構文解析する必要がなくなり、クライアント側の複雑さが低減される。しかし、これもキャッシュを保持する必要性によって相殺される。実際には、X.509 関連の機能をアプリケーションが独自に実装することは滅多になく、サードパーティ製ライブラリを使うため、このような考慮はあまり意味がない。 * CRL はクレジットカード会社の「悪質顧客リスト」のようなものと考えられるかもしれない。つまり、知らせる必要のない情報まで公開しているとも考えられる。 * OCSPは特定のネットワークホストが特定の時間に特定の証明書を使っただろうことをレスポンダに明らかにする。OCSPは暗号化を強制していないので、この情報は第三者に横取りされるかもしれない。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「Online Certificate Status Protocol」の詳細全文を読む スポンサード リンク
|