Solution ID : SOT0027
Last Modified : 11/25/2022
サーバ証明書のステータス情報確認を行うための方法として一般的には、CRL(証明書失効リスト)と OCSP(オンライン 証明書ステータスプロトコル)が利用され、パブリックTLS/SSL証明書の証明書プロファイルにはOCSPおよびCRLが含まれます。
CRL は認証局が現在失効している全証明書のリストで、サーバ証明書に設定されています。各ウェブブラウザは、証明書の署名検証時に CRL をダウンロードし、該 当の証明書が CRL に含まれていないかを照合します。認証局は CRL を定期的に発行し、ブラウザは最新の CRL を取得して証明書の有効性を照合します。
OCSP は、単一の証明書のステータスについて確認するための http プロトコルです。ウェブブラウザは http のパケットに証明書 ステータス確認要求(以下、OCSP リクエスト)を追加して、オンラインで OCSP サーバに要求します。 この要求に対して、OCSPサーバは証明書のステータスを応答 ( 以下、OCSP レスポンス ) を返します。 OCSP レスポンスには信頼できる OCSP レスポンダからの応答であること、また内容が通信途中に改ざんされていないことを証明 するためにデジタル署名が付いています。ウェブブラウザは受信する OCSP レスポンスが、要求した内容であること、署名が有効 であること、署名者が承認されたレスポンダであること、署名日時が十分に新しいことを確認し応答を受け入れます。
注意点
自社ネットワークからアクセスできるURLをファイアウォールおよび/またはアクセス制御機器で制限されている場合、新しいOCSPおよびCRLへのアクセスが行えるように、これらをホワイトリストに追加ください。
ホワイトリストへのワイルドカードでのエントリが禁じられている場合、FQDNで追加ください。
OCSPおよびCRLは以下になります。
自社ネットワークからアクセスできるIPアドレスをファイアウォールおよび/またはアクセス制御機器で制限されている場合、対象のURLを既存リストに追加ください。
