OCSP Stapling
from
徹底解剖 TLS 1.3
サーバーに対して、
TLS ハンドシェイク
の一環として証明書の有効性確認要求を行う
クライアントにとっては
OCSP
が
TLS
の一環となった
具体的には、クライアントからの要求には
RFC 6066
で
TLS 拡張
のひとつとして追加された
証明書ステータス要求
(
Certificate Status Request
) を使用する
認証局
(
CA
) は階層構造なので、中間 CA を含めた複数の証明書について有効性確認が必要
TLS 1.2
では 1 つの証明書ステータス要求しか含められなかった
この問題は、
OCSP Stapling
バージョン 1.2 として解消
RFC 6961
TLS 1.3
では複数の OSCP レスポンダの証明書ステータスが存在できるようになった
nobuoka.icon
どういうこと?
そのため、
RFC 6961
の複数証明書ステータス拡張は廃止され、当初の
RFC 6066
の証明書ステータス要求が採用されている