OCSPステープリングでCA OCSPの負荷を軽減

Array APV/vAPVで実装されているOCSPステープリング

今回はAPV/vAPVに実装されているOCSPステープリングを説明させていただきます。
OCSPは、IoTデバイスでもセキュリティ意識が高まる中で、利用されることが多いかと思います。

OCSP

OCSP(Online Certificate Status Protocol)は、証明書のステータス情報をリアルタイムに提供するプロトコルです。
1999年にIETF RFC 2560として標準化され、2013年にRFC 6960として改訂されました。
デジタル証明書の有効性確認のプロトコルで、X.509公開鍵証明書の失効状態を確認することができます。
OCSPを使わない場合、認証局から証明書失効リスト(CRL)をダウンロードして照合する必要があり、非効率で即時性にも欠けるます。
 
・実際の動き
TLS証明書ステータスリクエスト拡張として正式に知られているOCSPステープリングですが、SSL証明書の失効ステータスをチェックするためのものです。
サーバが、OCSPレスポンスを証明書と一緒にクライアントに送信。クライアントは、認証局への問い合わせが省略できるため、Webページ表示が高速化できます。
証明書プレゼンターは、CAによって署名されたタイムスタンプ付きOCSP応答を最初のTLSハンドシェイクに追加(「ステープル留め」)できます。

OCSPステープリングの利点

  • サーバー証明書のセキュリティ向上
  • クライアントアプリケーションアクセスを高速化し、CA OCSPの負荷を軽減
  • エンドユーザのプライバシーの維持に役立ちます。 CAは、Webサイトのエンドユーザではなく、WebサイトからのみOCSPリクエストを確認します(通常のOCSPの場合)。
  • 軽量、CAから一度に1レコードのみ受け取ります。
  • キャッシュされたCRL情報に依存しないため正確です。
  • 海外や一部Wi-Fiホットスポットなどは、キャプティブポータルを使用してインターネットアクセスを制御します。
    その場合アクセスにはクレジットカード番号が必要になる場合があり、そのような環境では、認証や支払いまでインターネットアクセスがブロックされるため、ユーザはキャプティブポータルSSL証明書のステータスを確認できません。
    そのような場合、キャプティブポータルがOCSPステープリングを使用していると、ユーザーが続行する前にSSL証明書のステータスを確認することができます。

ArrayAPV/vAPVでのOCSPステープリング

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
今後利用が拡大される機能のOCSPステープリングですが、Arrayのアクションは以下のようになります。
1.APV/vAPVは定期的にOCSPサーバを紹介します。
2.OCSPサーバは、OCSP応答に暗号署名、タイムスタンプを付けます。
3.クライアントはサイトに接続し、TLS/SSLのハンドシェイクを実施します。
4.APV/vAPVはステープリングされたOCSP応答で証明書を送付します。
 

以上です。
興味あるユーザはハードウエア・仮想ライセンスをご用意しますので、是非お試しください。
The network functions platform company「Array NETWORKS」

マイクロサービスは、コンテナ化しないと実現できないか?