OCSP
Online Certificate Status Protocol の略
RFC 6960 X.509 Internet Public Key Infrastructure, Online Certificate Status Protocol - OCSP
X.509証明書(いわゆるSSL証明書、TLS証明書)の失効状態を確認するプロトコル。
CRL (失効リスト)が巨大になったために、CRLをダウンロードするのにとても時間がかかるようになったのでその対策として作られた。
証明書に OCSP の設定があると、その URL に問い合わせようとする。
(なので、OCSP の応答を返せないのに設定するのはナンセンス)
https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
Let's Encrypt が廃止を決定。
https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html
OCSP への問い合わせ自体が事実上のトラッキングになってしまうという問題。
政府から接続情報を出せと言われた時に拒否できないため。
ブラウザくらいしか対応できていない。
EV証明書では OCSP が前提になっていた。しかし、EV証明書対応は廃止された。
メールサーバー(MTA)、メールクライアント(MUA)でのメジャーな製品でのサポートなし。
OpenSSL のライブラリを使っていれば自然と対応してそうに思えるが?
関連
X.509証明書