Online Certificate Status Protocol(OCSP)ステープリングを使用すると、Edge Security Acceleration(ESA)は証明書の検証結果をキャッシュし、認証局(CA)から証明書のステータスを照会することなく、クライアントに結果を送信します。これにより、証明書の検証時間が短縮され、アクセス速度が向上します。
OCSP Staplingとは
OCSP は、クライアントがリアルタイムで証明書の正当性と有効性を検証するために CA によって提供されるプロトコルです。クライアントがリクエストを開始するたびに、クライアントは CA に OCSP クエリを送信して証明書を検証します。OCSP クエリが頻繁に行われると、Transport Layer Security(TLS)ハンドシェイクの効率が低下し、アクセス速度が低下します。
OCSP ステープリングを有効にすると、OCSP クエリは ESA によって実行されます。ESA は低頻度の OCSP クエリを実行し、クエリ結果をポイントオブプレゼンス(POP)にキャッシュします。デフォルトでは、結果は POP に 60 分間キャッシュされます。クライアントが TLS ハンドシェイクリクエストを送信すると、ESA POP は CA から証明書のステータスを照会することなく、証明書とその OCSP 情報をクライアントに送信します。これにより、TLS ハンドシェイクの効率が向上し、検証時間が短縮されます。
始める前に
SSL/TLS が有効になっており、Web サイトに エッジ証明書 が設定されていることを確認します。
クライアントが OCSP 固有の拡張フィールドをサポートしていることを確認してください。そうでない場合、OCSP ステープリングは有効になりません。
キャッシュされた OCSP 情報のデフォルトの有効期限(TTL)は 1 時間です。情報が期限切れになると、OCSP 情報が再度取得されるまで、OCSP ステープリングは有効になりません。
すべての SSL/TLS 証明書を削除すると、OCSP ステープリングは無効になります。
OCSP Staplingを有効にする
ESA コンソールで、[Web サイト] を選択し、管理する Web サイト名をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[OCSP Stapling] をオンに切り替えます。
