DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

[CertCentral]TLS/SSL証明書の OCSPおよびCRLについて

ソリューション番号: SOT0027
最終更新日: 2024/12/14

証明書失効情報確認 OCSPおよびCRL

サーバ証明書のステータス情報確認を行うための方法として一般的には、CRL(証明書失効リスト)と OCSP(オンライン 証明書ステータスプロトコル)が利用され、パブリックTLS/SSL証明書の証明書プロファイルにはOCSPおよびCRLが含まれます。

CRL は認証局が現在失効している全証明書のリストで、サーバ証明書に設定されています。各ウェブブラウザは、証明書の署名検証時に CRL をダウンロードし、該 当の証明書が CRL に含まれていないかを照合します。認証局は CRL を定期的に発行し、ブラウザは最新の CRL を取得して証明書の有効性を照合します。

OCSP は、単一の証明書のステータスについて確認するための http プロトコルです。ウェブブラウザは http のパケットに証明書 ステータス確認要求(以下、OCSP リクエスト)を追加して、オンラインで OCSP サーバに要求します。 この要求に対して、OCSPサーバは証明書のステータスを応答 ( 以下、OCSP レスポンス ) を返します。 OCSP レスポンスには信頼できる OCSP レスポンダからの応答であること、また内容が通信途中に改ざんされていないことを証明 するためにデジタル署名が付いています。ウェブブラウザは受信する OCSP レスポンスが、要求した内容であること、署名が有効 であること、署名者が承認されたレスポンダであること、署名日時が十分に新しいことを確認し応答を受け入れます。

 

注意点

自社ネットワークからアクセスできるURLをファイアウォールおよび/またはアクセス制御機器で制限されている場合、新しいOCSPおよびCRLへのアクセスが行えるように、これらをホワイトリストに追加ください。

ホワイトリストへのワイルドカードでのエントリが禁じられている場合、FQDNで追加ください。
OCSPおよびCRLは以下になります。

  • OCSP    http://ocsp.digicert.com
  • CRL(FQDN)    http://crl3.digicert.com http://crl4.digicert.com

下記中間CA証明書が発行元となるジオトラスト証明書のCRLとOCSPは以下の通りです。

  • GeoTrust TLS RSA CA G1    G2ルートチェーン)
  • GeoTrust TLS ECC CA G1
  • GeoTrust ECC CA 2018

CRL    http://cdp.geotrust.com/
OCP    http://status.geotrust.com

 

以下リンク先を確認して対象のURLを既存リストに追加ください。

DigiCert CRL配布/OCSPサーバー等の IPアドレス追加について