SSL 인증서의 OCSP 란?

기술자료, 설치/적용 이슈 주요 사례
◾ Sectigo PositiveSSL ▷ 22% 가격 할인 프로모션 진행중. 자세히보기

OCSP 란 Online Certificate Status Protocol - 온라인 인증서 상태 프로토콜 -  의 약자로, 인증서 유효성 확인을 제공하는 방법입니다. 인증서가 폐기된것인지 정상인지 빠르게 확인을 할수 있습니다. CRL (Certificate Revocation List) 도 동일한 기능을 하지만, CRL 보다 개선된 표준이라고 할수 있습니다.

OCSP와 CRL 모두 가능한 경우 OCSP가 CRL보다 우선합니다. 하지만 웹브라우져 입장에서 볼때는, OCSP 요청보다 단일 CRL을 다운로드하고 캐시해 놓은 후 다시 조회가 필요할때 캐시를 이용하여 인증서 유효성을 확인하는 것이 효율적일수도 있습니다. 다만, CRL 특성상 해지 상태 반영이 즉시 되지 않는 단점과 CRL 다운로드 부하/속도가 있습니다.

참고 문서 : https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol (영문)

 

 

OCSP 특성상 웹브라우져의 확인요청에 빠른 대응하기 위해서 OCSP stapling 기술이 지원되고 있습니다. 

일반적인 OCSP  작동은 요청한 웹브라우져에 응답을 바로 해주지만, 모든 웹브라우져의 요청을 처리하기에는 응답지연이 발생할수 있습니다. 그 대안으로 OCSP stapling 은 SSL 이 적용된 웹사이트의 웹서버를 통해서 응답을 대신 해줄수 있어 빠른 검증이 가능해 집니다. (웹서버에서 지원을 해야 함)

 - Windows Server 2008+
 - Apache - SSLUseStapling on (지원 버젼에 한함)

참고 문서 : OCSP stapling - https://en.wikipedia.org/wiki/OCSP_stapling


(참고)

발급 받아 설치 적용한 SSL 인증서와 OCSP 작동은 직접적으로 관련은 없습니다.
클라이언트(웹브라우져등) 와 웹서버 및 해당 브랜드 OCSP 서버간의 네트워크 통신 작동에 해당되는 사항입니다.
웹서버에서의 설정 및 해당 웹서버 네트워크 환경에 따라 Stapling 활성화 여부가 달라질 수 있습니다.
Sectigo 섹티고 / Comodo 코모도 의 경우 클라우드플레어 같은 글로벌 CDN 서비스를 이용하여 확인을 지원하고 있습니다.

 

컨텐츠의 무단 전제복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.