OCSP【Online Certificate Status Protocol】

概要

有効性が不明な証明書を通信の相手方から受け取ったクライアントは、証明書を発行した認証局（CA：Certificate Authority）などがネットワーク上に設置しているOCSPに対応したサーバ（OCSPレスポンダという）へ証明書のシリアル番号などを記載した問い合わせのメッセージを送る。

OCSPレスポンダは認証局の証明書失効リスト（CRL：Certificate Revocation List）を参照して当該証明書の状態を確認し、有効、失効、不明のいずれかの応答を返す。応答が改竄されることを防ぐためデジタル署名が添付される。OCSPレスポンダは認証局に設置される場合と、認証局からCRLを受け取りOCSP応答に専念する検証局（VA：Validation Authority）により提供される場合がある。

OCSPを使わない場合、利用者は証明書を確認する度に認証局からCRLをダウンロードして照合しなければならず、データ容量などの点で非効率であり、即時性にも欠ける。OCSPの仕様はIETFにより1999年にRFC 2560として標準化され、2013年にRFC 6960として改訂された。