すべてのプロダクト
Search
ドキュメントセンター

CDN:OCSP stapling の設定

最終更新日:Mar 14, 2024

オンライン証明書ステータスプロトコル (OCSP) ステープル機能を使用すると、ポイントオブプレゼンス (POP) はSSL証明書の失効ステータスをキャッシュし、情報をクライアントに返すことができます。 クライアントは、認証局 (CA) からSSL証明書の失効ステータスを照会する必要はありません。 これにより、証明書の検証が高速化され、アクセスが高速化されます。

機能の概要

OCSP情報は、CAによって提供される。 クライアントは、OCSPを使用してSSL証明書の失効ステータスを確認できます。

OCSPステープルを有効にする前に、クライアントは、証明書が失効していないことを確認するために、要求ごとにCAからSSL証明書の失効ステータスを照会します。 クエリ要求が頻繁に発生すると、TLSハンドシェイクの効率が低下し、アクセス速度に影響します。

OCSPステープルを有効にすると、POPによってクエリ処理が実行されます。 Alibaba Cloud CDN は、低頻度でOCSP情報を取得するリクエストを送信し、取得したOCSP情報をPOPにキャッシュします。 キャッシュされたOCSP情報のデフォルトの有効期間 (TTL) は60分です。 クライアントがTLSハンドシェーク要求をPOPに送信すると、POPは証明書とOCSP情報をクライアントに返します。 クライアントは、CAにクエリを送信することなく、証明書の失効ステータスを確認できます。 これにより、TLSハンドシェイクの効率が向上し、検証時間が短縮されます。

image
重要
  • デフォルトでは、OCSPステープルは無効になっています。

  • キャッシュされたOCSP情報のデフォルトのTTLは1時間です。 情報の有効期限が切れた後、OCSP情報が再び取得されるまで、OCSPステープルは有効になりません。

  • HTTPSセキュアアクセラレーションが有効になっているアクセラレーションドメイン名のOCSPステープルを有効または無効にできます。 SSL証明書の設定を削除すると、OCSPステープルは無効になります。

  • OCSPステープリング処理は、デジタル証明書のOCSP情報を偽造することができないため、セキュリティ上のリスクをもたらさない。

前提条件

OCSPステープルを設定する前に、次の要件が満たされていることを確認してください。

  • SSL証明書が設定されています。 詳細については、「SSL証明書の設定」をご参照ください。

  • OCSP固有の拡張フィールドは、クライアントによってサポートされている必要があります。 それ以外の場合、OCSPステープルは有効になりません。

手順

  1. Alibaba Cloud CDNコンソール

  2. 左側のナビゲーションウィンドウで、ドメイン名 をクリックします。

  3. [ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。

  4. ドメイン名の左側のナビゲーションツリーで、HTTPS 設定 をクリックします。

  5. [OCSPステープル] セクションで、[OCSPステープル] をオンにします。OCSP