OCSP ステープリングにより、CDN または はオンラインの証明書検証結果を事前にキャッシュし、クライアントに配信できます。これにより、クライアントが証明書の状態を確認するために認証局 (CA) に直接問い合わせる必要がなくなり、証明書検証時間が短縮され、ユーザーのアクセス速度が向上します。
仕組み
認証局 (CA) は、クライアントがデジタル証明書の有効性と失効状態をリアルタイムで確認できる Online Certificate Status Protocol (OCSP) を提供します。
OCSP ステープリングがない場合、クライアントは TLS ハンドシェイクのたびに CA に問い合わせて、証明書が失効していないことを確認します。頻繁な OCSP クエリは TLS ハンドシェイクの効率を低下させ、ユーザーのアクセスを遅くする可能性があります。
OCSP ステープリング機能を有効にすると、CDN または サーバーが OCSP クエリを処理します。CDN または サーバーは低頻度でクエリを実行し、その結果をサーバーにキャッシュします (デフォルトのキャッシュ持続時間:60 分)。クライアントが TLS ハンドシェイクリクエストを開始すると、CDN または サーバーは証明書の OCSP 情報と証明書をクライアントに送信するため、CA にクエリリクエストを送信する必要がなくなります。これにより、TLS ハンドシェイクの効率が大幅に向上し、証明書検証の時間が節約されます。
-
OCSP ステープリングはデフォルトで無効になっています。
-
OCSP 応答のデフォルトのキャッシュ持続時間は 60 分です。キャッシュの有効期限が切れると、最初のリクエストには OCSP ステープリングは適用されません。サーバーが新しい OCSP 応答をフェッチした後に、この機能は再開されます。
-
HTTPS を使用するドメインに対して OCSP ステープリングを有効または無効にできます。ドメインの HTTPS 証明書設定を削除すると、そのドメインの OCSP ステープリングは自動的に無効になります。
-
OCSP 応答は CA によってデジタル署名されており、偽造することはできないため、追加のセキュリティリスクは発生しません。
前提条件
開始する前に、次の要件を満たしていることを確認してください:
-
ドメイン名に HTTPS 証明書が設定されていること。詳細については、「HTTPS 証明書の設定」をご参照ください。
-
クライアントが OCSP 拡張をサポートしていること。
操作手順
-
CDN コンソールにログインします。
-
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
-
ドメイン名 ページで、対象のドメイン名を見つけ、操作 列の 管理 をクリックします。
-
ドメインのナビゲーションウィンドウで、HTTPS 設定 をクリックします。
-
[OCSP ステープリング] セクションで、OCSP ステープリング をオンまたはオフにします。