OCSP

前回からの続きで、OCSP を試したメモ。

OpenSSL 1.0.0a の ocsp では、なぜか ::1 にしかバインドされないので、Apache のリバースプロキシを使って IPv4 アドレスにきたリクエストを ocsp に転送するようにした。

FireFox 3.6.3 の場合

OCSP によるサーバ証明書の検証は最初に行われる。オレオレ認証局による証明書の場合、最初に認証局が信頼できないというエラーが出る。そこで、証明書を受け入れるように指示すると、それ以上の検証は行われない。OCSPによる検証も行われない。

したがって、OCSPによる検証を有効にするには、サーバ証明書が信頼された認証局が発行したものでなければならない。つまり、オレオレ認証局の場合、あらかじめ認証局証明書をインストールしておく必要がある。

安全な接続ができませんでした

www.uconst.org への接続中にエラーが発生しました。
Peer’s Certificate has been revoked.
(エラーコード: sec_error_revoked_certificate)

* 受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
* この問題を Web サイトの管理者に連絡してください。あるいは [ヘルプ] メニューの [不具合のあるサイトを報告] でこのサイトについて報告してください。

InternetExplorer 8 の場合

認証局証明書をインストールしても検証している気配なし。どこかでやり方を間違えているのかも。

結果まとめ

  • OpenSSL 1.0.0a を使えば OCSP による失効リストの確認は可能。
  • ただし、ポートを転送する必要がある。
  • 間違ったリクエストが届くと ocsp が終了するので、OpenSSL の ocsp を OCSP サーバとして使うのは実用的ではない
  • FireFox で OCSP が機能するためには、あらかじめ認証局が信頼されている必要がある。オレオレ認証局では機能しない。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です