特徴
- OCSP(Online Certificate Status Protocol)とは、ディジタル証明書の有効性を確認するためのプロトコルであり、IETFで1999年にRFC2560で標準化され、2013年にRFC6960として改定されている。
- ディジタル証明書の有効性はCRL(証明書失効リスト)で公開されている。利用者がディジタル証明書の有効性を確認するには、最新のCRLを毎回ダウンロードして確認する必要があるが、データ容量が大きいことやリアルタイム性に課題がある。そこで、最新のCRLを常時、ダウンロードしておき、利用者からの問合せに応答する専用のサーバとしてOCSPレスポンダが用いられるようになった。
- 利用者は、問い合わせたいディジタル証明書のシリアル番号を送信し、OCSPレスポンダが、「有効」「失効」「不明」などを応答する。
- OCSPレスポンダは、認証局に設置される場合と、OCSPに専念する検証局(VA:Validation Authority)で提供される場合がある。
過去問
情報処理安全確保支援士試験 令和3年度 春期 午前2 問2
情報処理安全確保支援士試験 平成29年度 秋期 午前2 問2
【出典:情報処理安全確保支援士試験 令和3年度 春期 午前2 問2(一部、加工あり)】
【出典:情報処理安全確保支援士試験 平成29年度 秋期 午前2 問2(一部、加工あり)】
PKIを構成するOCSPを利用する目的はどれか。
- 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。
- ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとOCSPレスポンダとの間で失敗した際、認証状態を確認する。
- ディジタル証明書の失効情報を問い合わせる。
→正解 - 有効期限が切れたディジタル証明書の更新処理の進捗状況を確認する。