OCSP: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
| Line 7: | Line 7: | ||
** 모든 폐기목록을 다운받아서 확인해야 하는 CRL과 달리 특정 [[인증서]]의 유효성 여부를 [[CA]]에 직접 실시간으로 확인할 수 있다. | ** 모든 폐기목록을 다운받아서 확인해야 하는 CRL과 달리 특정 [[인증서]]의 유효성 여부를 [[CA]]에 직접 실시간으로 확인할 수 있다. | ||
* 한국에서 OCSP는 유료로 서비스된다.<ref>[http://www.dt.co.kr/contents.html?article_no=2003111402011260699006 OCSP 서비스 유료화 논란 - 디지털타임스]</ref> | * 한국에서 OCSP는 유료로 서비스된다.<ref>[http://www.dt.co.kr/contents.html?article_no=2003111402011260699006 OCSP 서비스 유료화 논란 - 디지털타임스]</ref> | ||
== 국내 OSCP 서버 조건 == | |||
;행정전자서명 기술 요건(2014, 행정자치부) | |||
* 인증서 상태 조회를 위한 요청 메시지와 응답메시지 전송을 위한 프로토콜은 HTTP를 사용 | |||
* 클라이언트가 OCSP 서버 인증서를 획득하기 위하여 응답 메시지에 OCSP 서버의 인증서를 포함 | |||
* OCSP 요청 및 응답은 재연 공격에 대처할 수 있도록 Nonce를 requestExtensions 및 resposeExtensions에 반드시 사용 | |||
* 이용자가 요청한 인증서의 상태조회 결과가 폐기인 경우 이용자가 인증서의 폐지 사유를 명확히 알 수 있도록 응답 메시지의 revocationReason 필드를 반드시 사용 | |||
== 관련 표준 == | |||
* KCAC.TS.OCSP, "실시간 인증서 상태확인 기술규격“ | |||
* RFC6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP | |||
== 같이 보기 == | == 같이 보기 == | ||
* [[공개키 기반 구조]] | * [[공개키 기반 구조]] | ||
Revision as of 16:09, 9 August 2019
- Online Certificate Status Protocol,온라인 인증서 상태 검증 프로토콜
- X.509 인증서 체계에서 인증서가 실제 유효한 인증서인지 인증기관에 직접 접속하여 확인하고자 할 때 사용되는 프로토콜
국내 OSCP 서버 조건
- 행정전자서명 기술 요건(2014, 행정자치부)
- 인증서 상태 조회를 위한 요청 메시지와 응답메시지 전송을 위한 프로토콜은 HTTP를 사용
- 클라이언트가 OCSP 서버 인증서를 획득하기 위하여 응답 메시지에 OCSP 서버의 인증서를 포함
- OCSP 요청 및 응답은 재연 공격에 대처할 수 있도록 Nonce를 requestExtensions 및 resposeExtensions에 반드시 사용
- 이용자가 요청한 인증서의 상태조회 결과가 폐기인 경우 이용자가 인증서의 폐지 사유를 명확히 알 수 있도록 응답 메시지의 revocationReason 필드를 반드시 사용
관련 표준
- KCAC.TS.OCSP, "실시간 인증서 상태확인 기술규격“
- RFC6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
