Loading AI tools
ウィキペディアから
Online Certificate Status Protocol(OCSP)は、X.509公開鍵証明書の失効状態を取得するための通信プロトコルである。RFC 6960 で規定されており、インターネット標準トラック上にある。証明書失効リスト (CRL) の代替として策定されたもので、CRLを公開鍵基盤 (PKI) で使う際の問題に対応している。OCSP のメッセージは ASN.1 で符号化されており、主に HTTP を使ってやり取りされる。要求/応答型メッセージであることから、OCSPのサーバを「OCSPレスポンダ」と呼ぶ。
OCSPレスポンダは要求の中で指定された証明書について「有効」、「失効」、「不明」のいずれかの応答を署名付きで返す。要求を処理できない場合は、エラーコードを返すこともある。
OCSP要求のフォーマットには付加的な拡張がある。これにより、特定のPKI方式にカスタマイズすることが可能である。
OCSPは反射攻撃に対して耐性がある。署名された「有効」な応答を悪意ある第三者が横取りした場合、その証明書が失効になった後でクライアントに対してそれを使う攻撃である。OCSPでは、Nonce(使い捨ての数字)を要求に含め、対応する応答に同じものを含めなければならないとすることで対処している。
しかし、反射攻撃は1つの可能性ではあるが、認証システムでは主要な脅威ではない。これはその脆弱性を利用した攻撃の手順に起因する。攻撃者は以下のことをしなければならない。
失効した証明書が有効になることは滅多にないので(停止されているだけならば可能性はある)、攻撃者は有効な応答を捉え、証明書が失効するのを待ち、それを使う必要がある。
OCSPは複数レベルのCAをサポートできる。OCSP要求をレスポンダ間で連鎖させ、発行元のCAがその証明書を発行するのに適切かどうかを調べることができる。レスポンダは自身のOCSP要求を使ってルートCAに対して相互の妥当性を保証する。
OCSPレスポンダは、Delegated Path Validation (DPV) サーバから失効情報を要求されることがある。OCSP自身は供給された証明書についてDPVを実行することはない。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.