DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert SSLサーバ証明書 SSLサーバ証明書詳細 コードサイニング証明書詳細
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. 技術情報
  4. OCSP Stapling

OCSP Stapling

OCSP StaplingでOCSP情報をサーバー上にキャッシュし、サーバー証明書情報と共にブラウザに提供することができます。

オンライン証明書状態プロトコル:OCSPとは

オンライン証明書状態プロトコル:OCSP (Online Certificate Status Protocol) は、CRLプロトコルに代わりSSLサーバ証明書の失効をチェックする、現在主流のプロトコルです。
CRLもOCSPも証明書が失効していないかどうかを確認するために使用されます。

CRLプロトコルでは、証明書の発行数の増加とともに潜在的にサイズが増加する「SSL証明書の失効情報ファイル」をダウンロードします。このファイルには、認証局ごとのすべての失効証明書のシリアル番号と失効日が記載されています。
CRLプロトコルの問題点は、証明書が失効していないことを確認するのに時間がかかり、結果的にSSLネゴシエーション完了が遅くなるということです。

一方、OCSPプロトコルは、ファイルをダウンロードしたり、ダウンロードしたファイルの検証をしたりする必要はありません。
ブラウザなどのクライアントは、検証したい証明書の情報を認証局のOCSPレスポンダーに問合せ、レスポンダーからの回答を受信します。
OCSPレスポンダーとは、各認証局が独自でOCSP専用に用意したサーバーです。

OCSPレスポンダーの確認方法は証明書の失効:CRL(Certificate Revocation Lists)とOCSPを参照してください。
マルチドメイン証明書/1年あたり56,500円から
Windowsサーバーにおすすめ 最大25ホスト名まで対応 DigiCert(デジサート) 企業認証SSL/TLS 国内最安値でご提供

OCSP Staplingとは

OCSP Staplingとは、WebサーバーなどのSSLサーバ証明書を提示するサーバーが認証局のOCSPレスポンダーに問合せを行い、そのキャッシュされた結果を、証明書とともにブラウザなどのクライアントに提示するという仕組みです。
このキャッシュされた結果は、サーバーとクライアントのTLS/SSLハンドシェイクの過程でCertificate Status Requestとして利用されます。
そのため、ブラウザなどのクライアントは独立したプロセスのOCSPレスポンダーへの問合せが不要になり、より短時間で証明書のステイタス確認を完了できます。

OCSP Staplingを利用しない場合は、認証局はSSLサーバ証明書の利用クライアントと直接通信することになり、事実上クライアント情報の取得が可能になるため、「プライバシー上問題あり」との考え方もあります。OCSP Staplingはこの懸念を払しょくします。

OCSP Stapling設定方法

EV SSL Plus/1年あたり32,500円から
緑のアドレスバーでサイトの信頼性向上 DigiCert(デジサート) EV SSL/TLS サーバー台数無制限 国内最安値でご提供
SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース