OCSP: Difference between revisions
From IT Wiki
No edit summary |
|||
| (2 intermediate revisions by 2 users not shown) | |||
| Line 6: | Line 6: | ||
* [[CRL]]을 대체하기 위해 고안되었다. | * [[CRL]]을 대체하기 위해 고안되었다. | ||
** 모든 폐기목록을 다운받아서 확인해야 하는 CRL과 달리 특정 [[인증서]]의 유효성 여부를 [[CA]]에 직접 실시간으로 확인할 수 있다. | ** 모든 폐기목록을 다운받아서 확인해야 하는 CRL과 달리 특정 [[인증서]]의 유효성 여부를 [[CA]]에 직접 실시간으로 확인할 수 있다. | ||
* 한국에서 OCSP는 유료로 서비스된다.<ref>[http://www.dt.co.kr/contents.html?article_no=2003111402011260699006 OCSP 서비스 유료화 논란 - 디지털타임스]</ref> | |||
== 국내 OCSP 서버 조건 == | |||
;행정전자서명 기술 요건(2014, 행정자치부) | |||
* 인증서 상태 조회를 위한 요청 메시지와 응답메시지 전송을 위한 프로토콜은 HTTP를 사용 | |||
* 클라이언트가 OCSP 서버 인증서를 획득하기 위하여 응답 메시지에 OCSP 서버의 인증서를 포함 | |||
* OCSP 요청 및 응답은 재연 공격에 대처할 수 있도록 Nonce를 requestExtensions 및 resposeExtensions에 반드시 사용 | |||
* 이용자가 요청한 인증서의 상태조회 결과가 폐기인 경우 이용자가 인증서의 폐지 사유를 명확히 알 수 있도록 응답 메시지의 revocationReason 필드를 반드시 사용 | |||
== 관련 표준 == | |||
* KCAC.TS.OCSP, "실시간 인증서 상태확인 기술규격“ | |||
* RFC6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP | |||
== 같이 보기 == | == 같이 보기 == | ||
* [[공개키 기반 구조]] | * [[공개키 기반 구조]] | ||
Latest revision as of 08:51, 21 April 2020
- Online Certificate Status Protocol,온라인 인증서 상태 검증 프로토콜
- X.509 인증서 체계에서 인증서가 실제 유효한 인증서인지 인증기관에 직접 접속하여 확인하고자 할 때 사용되는 프로토콜
국내 OCSP 서버 조건[edit | edit source]
- 행정전자서명 기술 요건(2014, 행정자치부)
- 인증서 상태 조회를 위한 요청 메시지와 응답메시지 전송을 위한 프로토콜은 HTTP를 사용
- 클라이언트가 OCSP 서버 인증서를 획득하기 위하여 응답 메시지에 OCSP 서버의 인증서를 포함
- OCSP 요청 및 응답은 재연 공격에 대처할 수 있도록 Nonce를 requestExtensions 및 resposeExtensions에 반드시 사용
- 이용자가 요청한 인증서의 상태조회 결과가 폐기인 경우 이용자가 인증서의 폐지 사유를 명확히 알 수 있도록 응답 메시지의 revocationReason 필드를 반드시 사용
관련 표준[edit | edit source]
- KCAC.TS.OCSP, "실시간 인증서 상태확인 기술규격“
- RFC6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
