メールマガジン

OCSPレスポンダソフトウェアのOSS〜OpenCA OCSPD〜

OSS研究室 加茂 智之

今回は、証明書の失効を確認するためのプロトコルのOCSPと、OCSPレスポンダソフトウェアのOpenCA OCSPDを紹介します。

OCSPについて

COCSPの概要

公開鍵基盤 (PKI) において、認証局 (CA) が発行した証明書を失効させる場合、認証局は証明書失効リスト (Certificate Revocation List, CRL) を作成しCRLにその証明書のシリアル番号を掲載します。ユーザはCRLを参照することにより、証明書が有効であるか否かを確認することができます。CRLの大きさは増加する一方です。また1つの証明書が有効か否かを確認するのにCRL全体を入手する必要があります。

これらの問題を改善するために考案されたのがOCSP(Online Certificate Status Protocol)です。OCSPでは「OCSPレスポンダ」と呼ばれるサーバを稼働させ、そこでCRLを保持します。ユーザはOCSPレスポンダに証明書のシリアル番号を問い合わせ、有効であるか否かの回答を得ます。

OCSPを使用したサーバ証明書の失効確認

OCSPを使用してウェブサーバのサーバ証明書の失効確認を行う場合、以下のような流れとなります。

  1. OCSPレスポンダは認証局のCRLを取り込み、サーバ証明書の失効情報を保持する
  2. ブラウザがウェブサーバにアクセスすると、ウェブサーバはサーバ証明書をブラウザに送付する
  3. ブラウザはOCSPレスポンダに証明書の失効情報を問い合わせ、応答を得て証明書が失効しているか否かを判別する

また、HTTPSの通信の確立に時間が掛かるのを防ぐため、HTTPサーバがサーバ証明書とともにOCSPレスポンダから取得した情報を送信するOCSP Staplingという方法も使われます。

OCSPを使用したクライアント証明書の失効確認

OCSPはクライアント証明書の失効確認にも使用できます。例として、クライアント証明書を使用してVPNコネクションの認証を行う場合を考えます。この場合は以下のような流れとなります。

  1. OCSPレスポンダは認証局のCRLを取り込み、クライアント証明書の失効情報を保持する
  2. VPNクライアントがVPNサーバにコネクション要求をする際、VPNクライアントはクライアント証明書をVPNサーバに送付する
  3. VPNサーバはOCSPレスポンダに証明書の失効情報を問い合わせ、応答を得て証明書が失効しているか否かを判別する

使用する証明書

OCSPによる失効確認を行う場合、失効確認を行う側はOCSPレスポンダへアクセスするための情報が必要です。認証局が失効確認を行う対象となる証明書を発行する際、証明書の拡張領域の認証機関アクセス情報 (Authority Information Access, AIA) にOCSPレスポンダのURLを記載することができます。証明書を受け取った側はこの情報を参照してOCSPレスポンダへアクセスすることができます。

OpenCA OCSPDの特徴

OCSPレスポンダの実装にはいくつかありますが、今回はOpenCA OCSPDをご紹介します。OpenCA OCSPDには以下のような特徴があります。

  • 各種PKIソフトウェアと組み合わせが可能
  • 複数のCAを取り扱うことができる
  • 失効情報更新の自動化が可能

OpenCA OCSPDの使用場面

ウェブサーバ用のサーバ証明書を発行するCAを自前で構築している場合、OpenCA OCSPDを利用することによりCRLが大きくなった場合でもHTTPSの通信開始時間を増大させずにおくことが可能です。

VPN機器などでクライアント証明書の失効確認をOCSPで行うことも可能です。機器仕様上CRLの定期更新が難しい場合でも、OpenCA OCSPDを利用して失効状態の自動管理を行うことができます。

クライアント証明書を発行する認証局が複数ある場合は、すべてのCRLを取りに行くのではなくOCSPレスポンダにて一括管理することも可能です。

デージーネットでは

デージーネットでは、OpenCA OCSPDの調査・検証を行い「OpenCA OCSPD調査報告書」をウェブサイトで公開しています。OpneXPKIと連携する具体的な手順についても記載しているので、興味のある方はダウンロードしていただければ幸いです。

デージーネットからのお知らせ

無料資料ダウンロードに【OpenCA OCSPD調査報告書】を掲載しました。

https://www.designet.co.jp/download/#remotework

ビジネスチャットの不安【見えない・残らない】を解消 リモートワークのコミュニケーションをWEBから監査 新オプション『会話ログ機能』2月12日より提供開始

https://www.designet.co.jp/info/?id=350

はじめてのCentOS 8 Linuxサーバエンジニア入門編」を出版しました。

https://www.designet.co.jp/books/

メールサーバの安全性を無料でチェックできるサイトを公開しています。

メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。

メールサーバセキュリティ診断MSchecker外部サイトへ

デージーネットマガジン2020年2月号記事一覧

OCSPレスポンダソフトウェアのOSS〜OpenCA OCSPD〜の先頭へ