OCSP Stapling

サーバーに対して、TLS ハンドシェイクの一環として証明書の有効性確認要求を行う

クライアントにとっては OCSP が TLS の一環となった

具体的には、クライアントからの要求には RFC 6066 で TLS 拡張のひとつとして追加された証明書ステータス要求 (Certificate Status Request) を使用する

認証局 (CA) は階層構造なので、中間 CA を含めた複数の証明書について有効性確認が必要

TLS 1.2 では 1 つの証明書ステータス要求しか含められなかった

この問題は、OCSP Stapling バージョン 1.2 として解消

TLS 1.3 では複数の OSCP レスポンダの証明書ステータスが存在できるようになった

nobuoka.icon どういうこと？

そのため、RFC 6961 の複数証明書ステータス拡張は廃止され、当初の RFC 6066 の証明書ステータス要求が採用されている