OCSP

From CS Wiki
Online Certificate Status Protocol,온라인 인증서 상태 검증 프로토콜
X.509 인증서 체계에서 인증서가 실제 유효한 인증서인지 인증기관에 직접 접속하여 확인하고자 할 때 사용되는 프로토콜
  • 표준문서: RFC 6960
  • CRL을 대체하기 위해 고안되었다.
    • 모든 폐기목록을 다운받아서 확인해야 하는 CRL과 달리 특정 인증서의 유효성 여부를 CA에 직접 실시간으로 확인할 수 있다.
  • 한국에서 OCSP는 유료로 서비스된다.[1]

국내 OCSP 서버 조건[edit | edit source]

행정전자서명 기술 요건(2014, 행정자치부)
  • 인증서 상태 조회를 위한 요청 메시지와 응답메시지 전송을 위한 프로토콜은 HTTP를 사용
  • 클라이언트가 OCSP 서버 인증서를 획득하기 위하여 응답 메시지에 OCSP 서버의 인증서를 포함
  • OCSP 요청 및 응답은 재연 공격에 대처할 수 있도록 Nonce를 requestExtensions 및 resposeExtensions에 반드시 사용
  • 이용자가 요청한 인증서의 상태조회 결과가 폐기인 경우 이용자가 인증서의 폐지 사유를 명확히 알 수 있도록 응답 메시지의 revocationReason 필드를 반드시 사용

관련 표준[edit | edit source]

  • KCAC.TS.OCSP, "실시간 인증서 상태확인 기술규격“
  • RFC6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP

같이 보기[edit | edit source]