OCSP

Online Certificate Status Protocol,온라인 인증서 상태 검증 프로토콜

X.509 인증서 체계에서 인증서가 실제 유효한 인증서인지 인증기관에 직접 접속하여 확인하고자 할 때 사용되는 프로토콜

• 표준문서: RFC 6960
• CRL을 대체하기 위해 고안되었다.
  • 모든 폐기목록을 다운받아서 확인해야 하는 CRL과 달리 특정 인증서의 유효성 여부를 CA에 직접 실시간으로 확인할 수 있다.
• 한국에서 OCSP는 유료로 서비스된다.^[1]

국내 OCSP 서버 조건[편집 | 원본 편집]

행정전자서명 기술 요건(2014, 행정자치부)

• 인증서 상태 조회를 위한 요청 메시지와 응답메시지 전송을 위한 프로토콜은 HTTP를 사용
• 클라이언트가 OCSP 서버 인증서를 획득하기 위하여 응답 메시지에 OCSP 서버의 인증서를 포함
• OCSP 요청 및 응답은 재연 공격에 대처할 수 있도록 Nonce를 requestExtensions 및 resposeExtensions에 반드시 사용
• 이용자가 요청한 인증서의 상태조회 결과가 폐기인 경우 이용자가 인증서의 폐지 사유를 명확히 알 수 있도록 응답 메시지의 revocationReason 필드를 반드시 사용

관련 표준[편집 | 원본 편집]

• KCAC.TS.OCSP, "실시간 인증서 상태확인 기술규격“
• RFC6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP

같이 보기[편집 | 원본 편집]

• 공개키 기반 구조