Let's encryptのOCSP廃止
Let's encryptがOCSPを廃止してCRLに一本化するらしい。理由は、ユーザがO OCSPリクエストを送る際ユーザのIPアドレスもユーザが訪問したサイトも知ることができてしまうため、このデータを保持するリスクを回避する目的。
ユーザはローカルにダウンロードしてCRLを利用するため、CRL利用時はユーザの情報をCAが知ることはない。
・OCSPを管理している?のは誰か?OCSPを利用して証明書の状態を把握するとして、問い合わせ先は誰か?
→その証明書を発行した認証局(CA)。認証局のOCSPサーバが問い合わせ先となる。証明書にそのURLが埋め込まれている。
・フェイルオープンってなに?
→システムやプロセスが失敗した場合も全体の動作を止めずに継続させる設計原則。逆の場合はフェイルクローズ。
・OCSPリクエストを送るのは誰で、どのタイミング?
→ウェブブラウザやその他のクライアント(VPNクライアントやメールサーバ)が送る。初めてサイトにアクセスするとき、証明書のキャッシュが期限切れになるとき、証明書の有効期限が近づいているとき。一部のクライアントは有効期限を確認するためにOCSPリクエストを定期的に送る。
・インプット
https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html