OCSP stapling は、デジタル証明書の検証に使用する Online Certificate Status Protoco (OCSP) の代替アプローチです。 Alibaba Cloud CDN サーバーは 、OCSP stapling を使用して OCSP 情報を取得します。 これにより、クライアントがデジタル証明書の検証リクエストを送信する際に発生する待ち時間が短縮されます。 また、クライアントが検証レスポンスを受信するために必要な時間も短縮されます。 このトピックでは、OCSP stapling の利用シナリオについて説明します。 また、Alibaba Cloud CDN コンソールでこの機能を有効化する方法についても詳しく説明します。

始める前に

OCSP 拡張フィールドは、多くのクライアントでサポートされています。 サポートされていない場合、OCSP stapling 機能は有効化できません。

このタスクについて

OCSP 情報は、デジタル証明書を発行する証明機関 (CA) によって提供されます。 この情報に基づいて、デジタル証明書をオンラインでリアルタイムに確認し、有効かどうかを判断できます。

課題:Web ブラウザーなどのクライアントは、CAによって提供されるOCSPレスポンダーに証明書検証リクエストを送信します。 ネットワーク接続が不安定な場合または中断されている場合、クライアントは検証レスポンスを長時間待つ必要があります。 この間、空白のページが表示され、ユーザーは期待どおりの操作を実行できません。OCSP
ソリューション:Alibaba Cloud CDN は、OCSP ステープリング機能を提供します。 この機能が有効な場合、Alibaba Cloud の CDN サーバーは低頻度でOCSP 情報を取得するリクエストを送信し、取得した OCSP 情報をキャッシュします。 クライアントが TLS ハンドシェイクを開始すると、Alibaba Cloud CDN のサーバーは OCSP 情報と証明書チェインをクライアントに返します。 OCSP stapling により、クライアントは迅速に検証レスポンスを受信できます。 これにより、ユーザーは期待どおりに操作を続行できます。 また、OCSP stapling プロセスによって追加のセキュリティリスクが発生することもありません。 これは、デジタル証明書の OCSP 情報を偽造できないためです。OCSP stapling

手順

  1. Alibaba Cloud CDN コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[ドメイン名] をクリックします。
  3. [ドメイン名] ページで、対象のドメイン名を見つけ、[管理] をクリックします。
  4. [OCSP Stapling] セクションでスイッチをオンにします。.