OCSP ステープリング機能により、Edge Security Acceleration (ESA) はオンラインでの証明書検証結果を事前にキャッシュし、クライアントに配信できます。これにより、クライアントが証明書の状態を確認するために認証局 (CA) に直接クエリを送信する必要がなくなり、証明書の検証時間が短縮され、ユーザーのアクセス速度が向上します。
OCSP ステープリング
Online Certificate Status Protocol (OCSP) は、認証局 (CA) が提供するプロトコルで、クライアントが証明書の有効性と正当性をリアルタイムで検証できるようにするものです。リクエストごとに、クライアントは OCSP クエリを CA に送信します。頻繁な OCSP クエリは、TLS ハンドシェイクの効率を低下させ、ユーザーのアクセスを遅くします。
OCSP ステープリングを有効にすると、OCSP のステータスクエリは ESA サーバーによって処理されます。ESA は低頻度でクエリを実行し、その結果をサーバーにキャッシュします。デフォルトのキャッシュ期間は 60 分です。クライアントがサーバーに対して TLS ハンドシェイクのリクエストを開始すると、ESA サーバーは証明書とともにその証明書の OCSP ステータス情報をクライアントに送信するため、クライアントが認証局 (CA) にクエリを送信する必要がなくなります。これにより、TLS ハンドシェイクの効率が大幅に向上し、証明書の検証時間が短縮されます。
注意事項
OCSP ステープリングを有効にする前に、サイトで SSL/TLS を使用しており、エッジ証明書が設定されていることを確認してください。
クライアントは OCSP 拡張フィールドをサポートしている必要があります。クライアントのバージョンがこのフィールドをサポートしていない場合、OCSP ステープリングは機能しません。
OCSP ステープリングのデフォルトのキャッシュ期間は 1 時間です。キャッシュの有効期限が切れた後、ESA が新しい OCSP 情報を取得するまで、最初のクライアントリクエストでは OCSP ステープリングは使用されません。
すべての SSL/TLS 証明書を削除すると、OCSP ステープリングは機能しなくなります。
OCSP ステープリングの有効化
ESA コンソールで、サイト管理 に移動します。サイト 列で、対象のサイトをクリックします。
左側のナビゲーションウィンドウで、 を選択します。
OCSP Stapling をオンにします。
サイトレベルとルールベースの機能
サイトレベルの機能は、そのサイトへのすべてのリクエストに適用されます。特定のリクエストにのみ OCSP ステープリングを適用するには、ルールベースの設定を使用します。クライアントリクエスト内の特定のパラメーターを検出する条件を使用してルールを定義できます。これにより、どのリクエストがルールを使用するかを正確に制御できます。サイトレベルの OCSP ステープリング機能に相当するルールベースの機能は、OCSP ステープリングです。