自堕落な技術者の日記

OCSPは言わずとしれた

RFC 2560で規定された「オンライン証明書状態プロトコル」というもので

ネットで問い合わせれば1枚の証明書の状態を「有効」か「無効」か

「よ〜〜わからんわ」か、教えてくれるプロトコルです。

WindowsではVistaになってからようやくサポートされるように

なりましたが、Netscape系ではかなり前から、Operaでは

いつの間にやらサポートされていたようです。

今日は、VistaのIE7と最新のOpera 9.5とで少し動きが違っていたので

触れてみたいと思います。

RFC 2560のAppendix A.1.1ではOCSP要求を送る方法は概ねHTTP GETでもHTTP POSTでも良いことになっています。

• HTTP GETで送る場合
  • URL http://ocsp.hoge.com/＜OCSP要求をBASE64にしてURLescapeしたもの＞で送信
  • 何を送ったかアクセスログやキャッシュ等に残ってしまう
  • キャッシュに残せるのでトラフィックの節約(の場合も)
  • プライバシーが問題になるケースもあるかも
  • こっちはオプション
• HTTP POSTで送る場合
  • リクエストボディでOCSP要求を送る
  • Content-Type は application/ocsp-request
  • キャッシュは一般にされない
  • 一括問い合わせのような大きい要求はPOSTで

といった違いがあります。OCSPは昔は繰り返しOCSP要求を送った際に

キャッシュの影響等を受けずに新しいOCSP応答が得られるように

ノンスという乱数を付けていました。

ところが大きな組織や認証サービスの場合には

要求がくるたびに「いちいち」新しい応答を署名付けて返すのは

パフォーマンス的に正直かなりシンドイので

• クライアント側ではちゃんとキャッシュできるようにHTTP GETを使う
• サーバー側では事前にOCSP応答の作り置きをしておく

ということをするようにしました。

これがRFC 5019 The Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environmentsというものです。

エディタはMicrosoftとVeriSignの方で「なるほどなぁ、、、」と思います。

さて、Opera 9.5、FireFox 2、Vista IE7、opensslでOCSP要求の

送信方法をしらべてみたところこのような結果になりました。

openssl、FireFox については当然というか真っ当というか

問題無いんですが、最新のOperaはHTTP GETでしか

要求を送りません。ちょっと勇気あるなぁ、、といった感じです。

Vista IE7は、両方やってみちゃうというのは

ちょっと涙ぐましいですね。（；＿；）エライ。

Opera 9.5でOCSPを無効にするためには

アドレスバーでopera:configと打って、

Security Prefs＞OCSP Validate Certificatesのチェックを外すか

ここを見てみると

"C:\Program Files\Opera\operadef6.ini" で

^[Security Prefs]

^OCSP Validate Certificates=0

を加えればよいそうです。

さらに追加でFireFox 2でOCSPを使うようにするには

"オプション＞詳細＞暗号化＞検証(V)"で

「証明書にOCSPサービスURLが記載されている場合のみ利用」

を選べばよいです。

https://livedoor.blogimg.jp/k_urushima/imgs/0/b/0b21e74a.PNG