オンライン証明書ステータスプロトコル (OCSP) ステープル機能を使用すると、ポイントオブプレゼンス (POP) はSSL証明書の失効ステータスをキャッシュし、情報をクライアントに返すことができます。 クライアントは、認証局 (CA) からSSL証明書の失効ステータスを照会する必要はありません。 これにより、証明書の検証が高速化され、アクセスが高速化されます。
機能の概要
OCSP情報は、CAによって提供される。 クライアントは、OCSPを使用してSSL証明書の失効ステータスを確認できます。
OCSPステープルを有効にする前に、クライアントは、証明書が失効していないことを確認するために、要求ごとにCAからSSL証明書の失効ステータスを照会します。 クエリ要求が頻繁に発生すると、TLSハンドシェイクの効率が低下し、アクセス速度に影響します。
OCSPステープルを有効にすると、POPによってクエリ処理が実行されます。 Alibaba Cloud CDN は、低頻度でOCSP情報を取得するリクエストを送信し、取得したOCSP情報をPOPにキャッシュします。 キャッシュされたOCSP情報のデフォルトの有効期間 (TTL) は60分です。 クライアントがTLSハンドシェーク要求をPOPに送信すると、POPは証明書とOCSP情報をクライアントに返します。 クライアントは、CAにクエリを送信することなく、証明書の失効ステータスを確認できます。 これにより、TLSハンドシェイクの効率が向上し、検証時間が短縮されます。
デフォルトでは、OCSPステープルは無効になっています。
キャッシュされたOCSP情報のデフォルトのTTLは1時間です。 情報の有効期限が切れた後、OCSP情報が再び取得されるまで、OCSPステープルは有効になりません。
HTTPSセキュアアクセラレーションが有効になっているアクセラレーションドメイン名のOCSPステープルを有効または無効にできます。 SSL証明書の設定を削除すると、OCSPステープルは無効になります。
OCSPステープリング処理は、デジタル証明書のOCSP情報を偽造することができないため、セキュリティ上のリスクをもたらさない。
前提条件
OCSPステープルを設定する前に、次の要件が満たされていることを確認してください。
SSL証明書が設定されています。 詳細については、「SSL証明書の設定」をご参照ください。
OCSP固有の拡張フィールドは、クライアントによってサポートされている必要があります。 それ以外の場合、OCSPステープルは有効になりません。
手順
Alibaba Cloud CDNコンソール
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
[ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、HTTPS 設定 をクリックします。
[OCSPステープル] セクションで、[OCSPステープル] をオンにします。