[인증] OCSP

출처 : unsplash

 

1. OCSP 정의

- 온라인 인증서 상태 프로토콜 (Online Certificate Status Protocol, OCSP) 는 PKI 로 발행된 인증서 검증을 위한 방법으로 CRL 방식을 보완하기 위한 프로토콜이다.

 

2. PKI 환경

- 사용자가 인증서 사용 시 온라인 상점과 같은 클라이언트는 해당 인증서 유효성 검증을 위해 검증기관(VA, Validation Authority)에 요청 후 결과를 응답 받음

- 인증서 검증을 위한 요청 방식으로 CRL과 OCSP가 있음

 

3. PKI 인증서 검증 방법

1) CRL

   - Certificate Revocation List (인증서 폐기 목록)

   - CA는 폐지된 인증서 정보를 가지고 있는 CRL을 통해 인증서의 유효성을 최신 상태로 유지

   - 검증 기관은 인증서 폐기 목록을 배치로 CA에서 가져와 갱신하였으나 거래가 늘어남에 따라 목록 관리 및 실시간 관리가 되지 않는 다는 단점이 생김

 

2) OCSP

   - Online Ceritificate Status Protocol (온라인 인증서 상태 프로토콜)

   - CRL의 단점을 보완하기 위해 CRL 리스트를 다운로드 하기 보다 실시간으로 목록을 조회할 수 있도록 함

   - 별도의 OCSP서버를 두고 사용자가 인증서 상태 요청 시 인증기관을 조회 후 결과를 return함

   - 특정 CA기관과 계약 체결 및 사용량에 따른 비용 지불 필요 (참고: 인증기관)

 

 

★참고 URL

- m.blog.naver.com/gnakon1/222152633796

- https://blog.naver.com/nologout/113884152

- blog.naver.com/jvioonpe/221384409377